Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông thường.
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO, bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu hình.
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các starter GPO. Bạn bấm vào nút hướng dẫn để tạo.
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn có từ starter GPO.
Cấu hình nhóm chính sách
Nhóm chính sách được sử dụng để tùy biến màn hình desktop, cấu hình bảo mật và thiết lập môi trường làm việc của người dùng. Các cấu được chia thành hai loại là:
- Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính
- Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính
- User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
- User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
- Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation). Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào.
- Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào.
- Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập liên quan đến giao diện người dùng.
Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
- Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
- Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
- Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.
- Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.
- Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.
- Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.
Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled) một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.
Tạo các local GPO
Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.
Các local GPO được chia thành ba loại sau:
- Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết lập cho máy tính.
- Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết lập cho máy tính.
- Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại. Nhóm chính sách này không chứa các thiết lập cho máy tính.
- Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại. Nhóm chính sách này không chứa các thiết lập cho máy tính.
- User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy tính.
- User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy tính.
Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý: các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO của domain.
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:
1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ Select Group Policy Object.
4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút Browse để mở cửa sổ Browse For A Group Policy Object.
5. Chọn táp Users. Xem hình minh họa.
6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ Select Group Policy Object.
7. Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.
8. Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).
9. Bấm trình đơn File, chọn Save As để mở cửa sổ Save As.
10. Nhập tên cho Console để lưu trong Administrative Tools.
11. Đóng MMC.
Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn console cần mở.
Tóm tắt nội dung
- Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính. Các chính sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng nhập. Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng.
- Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
- Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
- Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong GPO.
- Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong GPO.
Câu hỏi ôn tập
1. Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?
A. ADM
B. ADMX
C. Group Policy Objects
D. Security templates
2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?
A. Local group policy
B. Administrators group policy
C. Non-Administrators group policy
D. User-specific group policy
3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau đây?
A. GPO linking (gắn GPO)
B. Administrative templates (thiết lập theo mẫu)
C. Security filtering (lọc)
D. Starter GPOs
4. Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?
A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới
B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain
C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác
D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO
5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured. Kết quả của thiết lập này là?
A. Trạng thái của chứng năng đó vẫn là disabled
B. Trạng thái của chứng năng đó sẽ chuyển thành Not Configured
C. Trạng thái của chứng năng đó sẽ chuyển thành enabled
D. Thiết lập này sẽ tạo ra lỗi tranh chấp
---------------------------
Cập nhật 2015/5/20
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (51)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/5/20
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (51)