Chương 6. Tạo và quản lý các nhóm chính sách
Nhóm chính sách (group policy) hay chính sách hệ thống là các thiết lập cho hệ điều hành Windows, nhằm kiểm soát hoạt động của hệ thống máy tính. Nhóm chính sách gồm các chính sách cho người dùng và cho máy tính.
Đối với máy tính, các chính sách sẽ được thiết lập khi khởi động (startup) và khi tắt máy (shutdown). Đối với người dùng, các chính sách sẽ được thiết lập khi đăng nhập (logon) và khi thoát ra (logoff).
Bạn có thể tạo ra một hoặc nhiều nhóm chính sách, mỗi nhóm chính sách được chứa trong một đối tượng gọi là GPO (group policy object).
Để áp dụng nhóm chính sách lên một thùng chứa (domain, site, hoặc OU) trong AD DS, bạn thực hiện gắn GPO vào (link) thùng chứa. Khi đó, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO. Một GPO có thể áp dụng cho nhiều thùng chứa. Một thùng chứa cho phép gắn nhiều GPO.
Các nội dung sẽ được đề cập trong chương này:
- Tạo GPO
- Cấu hình các chính sách bảo mật
- Quản lý ứng dụng
- Cấu hình tường lửa của Windows
- Tạo GPO
- Cấu hình các chính sách bảo mật
- Quản lý ứng dụng
- Cấu hình tường lửa của Windows
6.1 Tạo GPO
GPO có thể tác động lên tất cả người dùng và máy tính theo phạm vi OU, domain hoặc site. Tuy nhiên, nếu sử dụng chức năng lọc (filter), bạn có thể áp dụng GPO trên các người dùng hoặc máy tính cụ thể. Sau đây là các ích lợi của việc sử dụng nhóm chính sách:
- Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
- Quản lý dữ liệu của người dùng hiệu quả
- Cấu hình quản lý các máy client nhanh chóng và tự động
- Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
- Quản lý dữ liệu của người dùng hiệu quả
- Cấu hình quản lý các máy client nhanh chóng và tự động
Các nội dung sẽ được đề cập trong phần này:
- Cấu hình Central Store
- Tạo và quản lý GPO
- Áp dụng GPO
- Chức năng lọc
- Cấu hình Central Store
- Tạo và quản lý GPO
- Áp dụng GPO
- Chức năng lọc
GPO
GPO là một đối tượng, được sử dụng để chứa các thiết lập mà bạn muốn áp dụng cho người dùng và máy tính trong domain, site hoặc OU. Để áp dụng GPO, bạn sẽ thực hiện gắn GPO tới domain, site hoặc OU. Các công việc liên quan đến nhóm chính sách gồm: tạo GPO, lưu GPO, sử dụng GPO.
Có ba loại GPO: local GPO, nonlocal GPO và starter GPO.
Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO. Các bản windows từ phiên bản Windows Server 2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO. Do vậy, bạn có thể thiết lập GPO riêng biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại. Điều này rất hữu ích trong trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS. Đối với các bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên tất cả người dùng.
Local GPO có một số hạn chế so với domain GPO. Cụ thể, local GPO không hỗ trợ việc chuyển hướng thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật. Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ được ưu tiên hơn.
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng chứa). Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và máy tính có trong thùng chứa.
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO (các nonlocal GPO nhưng không phải là Starter GPO?!). Starter GPO được giới thiệu từ bản Windows Server 2008. Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép sang GPO mới.
Cấu hình Central Store
Trong các phiên bản Windows cũ, nội dung của GPO được chứa trong các tập tin dạng ADM (token-based administrative template). Từ Windows Server 2008 và Windows Vista, nội dung của GPO được chứa trong tập tin dạng ADMX (XML-based file format).
Các thiết lập của GPO thường được tổ chức dưới dạng các mẫu (administrative template). Mẫu là một tập tin, trong đó chứa các thiết lập của GPO, các thiết lập sẽ làm thay đổi nội dung của registry.
Trong các phiên bản Windows cũ, mỗi khi GPO được tạo ra, nội dung của GPO được chứa trong tập tin dạng ADM, hệ thống sẽ chép một bản của tập tin dạng ADM vào thư mục SYSVOL trên máy domain controller.
Đối với hệ thống AD DS lớn, cần có rất nhiều GPO, mỗi tập tin của GPO có kích thước chuẩn là 4 MB. Điều này sẽ làm cho thư mục SYSVOL bị phình lớn, với rất nhiều thông tin dư thừa. Thông tin trong SYSVOL lại được nhân bản tới tất cả các domain controller trong domain. Đây là một hạn chế cần phải khắc phục.
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin ADMX vào Central Store. Mỗi domain controller có một Central Store. Để sử dụng Central Store,
bạn phải chép thư mục chứa chính sách tới thư mục SYSVOL.
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là: C:\Windows\PolicyDefinitions. Để tạo Central Store, bạn phải chép toàn bộ nội dung của PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\<domain name>\Policies, hoặc theo dạng tên quy ước là: \\<domain name>\SYSVOL\<domain name>\Policies.
Sử dụng Group Policy Management Console
Group Policy Management Console (GPMC) là một công cụ trong bộ MMC (Microsoft Management Console). GPMC được sử dụng để tạo, quản lý và sử dụng các GPO. Để mở và biên tập một GPO, bạn sử dụng công cụ Group Policy Management Editor.
Bạn có thể tạo GPO trước, sau đó gắn GPO tới domain, site, hoặc OU. Hoặc bạn cũng có thể thực hiện hai việc trên cùng một lúc.
Trong Windows Server 2012 R2, các công cụ làm việc với GPO được cài đặt tự động cùng với AD DS. Tuy nhiên, nếu máy tính chưa có, bạn vẫn có thể thực hiện cài đặt các công cụ làm việc với GPO riêng biệt bằng Add Roles And Features Wizard trong Server Manager. Các công cụ làm việc với GPO cũng có trong gói Remote Server Administration Tools.
Tạo và gắn nonlocal GPO
Nếu bạn muốn để nguyên tất cả các GPO do Windows tạo ra, nhằm giữ nguyên sự ổn định của hệ thống, thì bạn nên tạo mới các GPO, sau đó gắn các GPO này tới các thùng chứa mà bạn quan tâm trong AD DS.
Sau đây là các bước thực hiện:
1. Mở Active Directory Administrative Center, trong AD DS tạo một OU có tên là KinhDoanh.
2. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management. Xem hình minh họa.
3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO hiện có của domain sẽ xuất hiện trong cửa sổ Group Policy Objects.
4. Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New GPO.
5. Nhập tên cho GPO trong mục Name, bấm OK. GPO vừa được tạo sẽ xuất hiện trong cửa sổ bên phải.
6. Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An Existing GPO để mở cửa sổ Select GPO.
7. Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK. GPO sẽ xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects. Xem hình minh họa.
8. Đóng cửa sổ Group Policy Management Console.
Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU, chọn mục Create A GPO In This Domain And Link It Here.
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa.
Chức năng lọc trong GPO
Thực chất, sau khi gắn GPO tới một thùng chứa, mọi người dùng và máy tính trong thùng chứa sẽ có quyền đọc (read) và áp dụng (apply) các nội dung có trong GPO.
Nhóm Authenticated Users là nhóm có thành viên là toàn bộ người dùng và máy tính đã vượt qua được bước chứng thực khi đăng nhập vào domain. Khi GPO áp dụng trên các thùng chứa, nó sẽ áp dụng lên toàn bộ các đối tượng vừa thuộc Authenticated Users và vừa thuộc thùng chứa. Như vậy, bằng cách gán quyền trên GPO cho người dùng và máy tính cụ thể, bạn có thể thực hiện áp dụng GPO một cách linh hoạt hơn.
Để lựa chọn người dùng hoặc máy tính chịu sự tác động của GPO, tại cửa sổ Group Policy Management Console, bạn chọn GPO ở khung bên trái, trong phần Security Filtering, sử dụng hai nút Add và Remove để thay thế nhóm Authenticated Users bằng các đối tượng khác chịu sự tác động của GPO. Khi đó, chỉ có người dùng, máy tính nằm trong thùng chứa và có trong phần Security Filtering mới nhận được các thiết lập của GPO. Xem hình minh họa.
---------------------------
Cập nhật 2015/5/14
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (50)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/5/14
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (50)