Lessons 1: Công cụ Group Policy

Địa chỉ sua chua dien nuoc quan phu nhuan uy tín, cam kết chất lượng dịch vụ. Phục vụ hơn 500000 khách hàng cả nước



+ Trả lời bài viết
Hiện kết quả từ 1 tới 6 của 6

Chủ đề: Lessons 1: Công cụ Group Policy

  1. #1
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts

    Lightbulb Lessons 1: Công cụ Group Policy

    Lessons 1: Công cụ Group Policy
    Trước khi bắt đầu bạn cần khởi tạo một Domain Controller đặt tên là Server01 trong domain contoso.com
    Ok bây giờ chúng ta bắt đầu tìm hiểu Group Policy :rolleyes:

    Group Policy là cái gì???

    Group Policy là một đặt trưng của Windows mà cho phép bạn quản lý các thay đổi và cấu hình cho một user hoặc computer từ một điểm trung tâm quản trị. Nó cung cấp một cơ sở hạ tầng với những thiết lập có thể sử dụng triển khai cho nhiều user và computer cho doanh nghiệp.

    Trong lessons này chúng ta sẽ tìm hiểu:

    1. Group Policy Object.
    2. Policy Setting
    3. Administrative template Note
    4. Thực hành công cụ Group Policy


    Updating....:p



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  2. #2
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts

    I. Group Policy Object

    Là các đối tượng của Group Policy. Một GPO là một đối tượng bao gồm 1 hoặc nhiều Policy Setting, và áp dụng cho một hoặc nhiều thiết lập cấu hình cho user hoặc computer.
    1. Tạo GPO như thế nào?
    2. Quản lý GPO như thế nào?
    3. Chỉnh sửa GPO?


    Hình ảnh trên là 1 GPO

    Nói thêm về GPO!

    Một máy tính sẽ có local GPOs và có thể Domain-Based GPO

    * Local GPO
    Trên windows 2000, windows XP, và windows server 2003 chưa nâng cấp AD có một Local GPO, được sử dụng để quản lý cấu hình hệ thống tại máy tính đó. Nó được lưu trữ tại %SystemRoot%\System32\Groupplicy. và mặc định tất cả các thiết lập là not configured.
    Windows vista, Windows 7 và windows server 2008 có multiple local GPO.
    * Domain-Based GPO
    Domain-Based GPO được khởi tạo trong Active directory và lưu trữ trong domain controller. Chúng được sử dụng để quản lý cấu hình chính cho các user và computer trong domain.

    Khi cài đặt dịch vụ AD DS, 2 GPOs mặc định được tạo ra:
    - Default Domain Policy: Đây là GPO bao gồm các thiết lập policy như password, account, lockout, and Keberos.
    - Default Domain controller policy: Có mối liên quan tới Domain Controllers OU.
    lưu trữ GPO %SystemRoot%\SysVol\Domain\Policies\GPO GUID

    lab Creating, linking, và Editing

    Link download
    updating....:p



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  3. The Following User Says Thank You to Neich_IT For This Useful Post:

    k_hung (26-01-2012)

  4. #3
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts

    II. Policy Setting

    • Computer Configuration
    • User Confuration

    Computer Configuration Là các thiết lập trên Computer. Những thiết lập áp dụng cho Computer mà ko quan tâm ai log vào đó. Computer Setting được áp dụng khi hệ điều hành khởi động và chạy ẩn sau khi refresh 90-120 phút.
    User Configuration Là các thiết lập cho user. Bao gồm các cài đặt mà áp dụng khi user login vào một máy tính nào đó và sau mỗi refresh 90-120 phút.

    - Software setting node (Tìm hiểu tiếp :rolleyes
    - Windows setting node (Tìm hiểu tiếp :p)



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  5. #4
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts
    III. Administrative template Note

    Thiết lập thì có khá nhiều nhưng các bạn cần để ý một số cái sau
    Filtering Administrative Template Policy Settings: Công cụ sử dụng để lọc. tìm kiếm, các prolicy.
    Commenting: Công cụ để tìm kiếm lọc các policy-setting comment.
    Starter GPOs: Là một đặc trưng mới của Group Policy trong windows server 2008. Một Starter GPO có chứa Administrative Template Setting.Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao.

    Có một bài post riêng về Starter GPO

    Continute...



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  6. #5
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts
    Starter GPOs là gì

    Trong bài này, chúng ta tìm hiểu vấn đề liên quan đến GPO có trong Windows Server 2008 - Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao.

    Một vấn đề lưu ý ở đây đó là các thông tin được sử dụng trong bài này đều được dựa trên thông tin thu lượm được từ các phiên bản thử nghiệm của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy một số tính năng và một số hộp thoại có thể thay đổi chút ít so với bản phát hành cuối cùng.

    GPMC – trong và ngoài?

    Được xây dựng trong Windows Server 2008 với một giao diện mới - Group Policy Management Console (GPMC) version 2.0, trông và cảm nhận có vẻ khá giống với các phiên bản cũ nhưng nó có một số đặc tính mới được bổ sung trong phiên bản này.

    Có thể các bạn đã biết, Service Pack 1 cho Windows Vista có thể sẽ uninstall phiên bản GPMC với tư cách một phần trong hệ điều hành - khiến cho bạn không hề có một công cụ để quản lý các GPO miền nào… Tuy nhiên không nên thất vọng như vậy: xung quanh phát hành SP1 cho Windows Vista, GPMC version 2.0 sẽ được cung cấp như một download riêng từ website của Microsoft.

    Để sử dụng GPMC version 2 bạn cần phải có một trong hai thành phần dưới đây:

    1. Microsoft Windows Vista Service Pack 1 với download GPMC 2.0 hoặc

    2. Microsoft Windows Server 2008 có tính năng Group Policy Management

    Source Starter GPO

    Khi mở GPMC 2.0 bạn có thể sẽ thấy một mục chứa mới (trống rỗng) có tên "Starter GPOs". Mục này có thể giữ những gì mà tôi gọi là các “mẫu” nhằm mục đích tạo các GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được cung cấp - từ ‘Computer Configuration’ và ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm,...). không có trong Starter GPOs, xem trong hình 1.


    Hình 1: Các thiết lập từ “Administrative Templates”

    Khi tạo các GPO mới, bạn có thể chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn gọi là mẫu) – để dễ dàng cho việc tạo đa GPO với cùng một cấu hình cơ sở, xem hình 2.


    Hình 2: Source Starter GPO

    Một GPO mới sẽ gồm có tất cả các thiết lập chính sách “Administrative Templates” từ Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách “Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group Policy Management (AGPM). Mặc dù vậy, sản phẩm đó không nằm trong phạm vi của bài này nên chúng tôi sẽ giới thiệu cho các bạn vào một dịp khác trong các bài khác.

    Thư mục mới trong SYSVOL


    Nếu đây là lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền có liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút “Create Starter GPOs Folder” hoặc chỉ cần kích chuột phải vào mục “Starter GPOs” và chọn “New…”, xem hình 3. Tùy chọn sau đó sẽ tạo cho bạn một thư mục Starter GPOs.


    Hình 3: Sử dụng lần đầu tiên

    Hộp thoại “New Starter GPO” sẽ xuất hiện, yêu cầu bạn nhập vào tên và chú thích, xem hình 4.

    Hình 4: Tạo một Starter GPO mới

    Lưu ý rằng, bất cứ thứ gì bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter GPO này như một tài nguyên gốc. Văn bản sẽ được ghi lại với tư cách là comment của GPO. Khi bạn kích hoạt lần đầu tiên Starter GPOs trong miền, sẽ có một thư mục có tên "StarterGPOs" được tạo ra bên trong thư mục SYSVOL với đường dẫn dưới đây:
    “\\domain.com\SYSVOL\domain.com\StarterGPOs” – đây là nơi tất cả trò “ảo thuật” được thực hiện (xem hình 5)

    Hình 5: Thư mục StarterGPOs trong SYSVOL

    Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ có một GUID duy nhất (giống như các GPO thông thường). Vì vậy khi bạn tạo một GPO mới với Starter GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con và các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục \\domain.com\SYSVOL\domain.com\Policies\[SomeNewGUID] (một GUID duy nhất đã tạo trong quá trình), đến lúc này bạn hãy chuẩn bị triển khai một GPO mới.

    Hình 6: Chuẩn bị tạo một GPO mới, nhưng không tạo từ bất kỳ “đống hỗn độn” nào

    Khi kích chuột phải vào Starter GPO, xem hình 6, bạn có thể chọn để tạo “New GPO From Starter GPO…”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền và chọn tùy chọn: ”Create a GPO in this domain, and Link it here...” – chỉ lúc này hộp chọn “Source Starter GPO” mới bị vô hiệu.


    Hình 7: Source Starter GPO chuyển sang màu xám

    Cabinet và những thứ bên trong

    Có những thứ rất thú vị mà bạn có thể export các mẫu GPO (Starter GPOs) sang file Cabinet (.CAB) và sau đó import cabinet này vào một môi trường khác – hoàn toàn độc lập với domain/forest nguồn!

    Chính vì vậy lúc này bạn có thể tạo một Starter GPO hoàn hảo, export nó (xem nút “Save as Cabinet…” trong hình 8) và sau đó mang nó ra bên ngoài, chia sẻ nó với các bạn của bạn, trên Website của bạn, triển khai nó trên tất cả các hệ thống mà bạn có thể giữ quyền kiểm soát,…. Sau quá trình import được thực hiện rất dễ dàng (xem nút “Load Cabinet…” trong hình 8), bạn hãy chuẩn bị tạo các GPO mới với Starter GPO đóng vai trò cơ sở.

    Hình 8: Tải và Lưu file Cabinet

    Nếu bạn cũng tò mò như tôi, thì có thể rất mệt với tất cả những gì bên trong file .CAB…. Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm có tối thiểu 2 (nếu không được cấu hình) đến 6 file nén, phụ thuộc vào những thiết lập gì bạn đã cấu hình trong Starter GPO riêng:


    StarterGPO.tmplx: Gồm có GUID, thông tin phiên bản, tên, mô tả…(định dạng XML) File này luôn luôn nằm trong file CAB
    Report.html: Báo cáo các thiết lập được tạo ra và bao gồm như một dưới dang file HTML cho mọi “export”. Được thực hiện nhằm tạo tham chiếu dễ dàng và tài liệu xem xét. File này luôn luôn nằm trong file CAB
    Machine_Registry.pol: Một phần ‘Computer Configuration’ (CC) của GPO File này chỉ được hiện diện nếu có bất kỳ thiết lập nào của CC được hiện diện trong Starter GPO.
    User_Registry.pol: Một phần ‘User Configuration’ (UC) của GPO File này chủ được hiện diện nếu bất kỳ thiết lập nào của UC được hiện diện trong Starter GPO.
    Machine_Comment.cmtx: Gồm có các comment (chú thích) được tạo trên các thiết lập bên trong phần CC của Starter GPO (định dạng XML). File này chỉ được hiện diện nếu có tổi thiểu một thiết lập CC có chú thích được liên kết với nó.
    User_Comment.cmtx Gồm có các comment (chú thích) được tạo trên các thiết lập bên trong phần UC của Starter GPO (định dạng XML). File này chỉ được hiện diện nếu có tổi thiểu một thiết lập UC có chú thích được liên kết với nó.

    Một hạn chế đối với việc export Cabinet là bạn chỉ có thể export một Starter GPO trên một file Cabinet. Vì vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường, vấn đề này sẽ được giới thiệu trong phần tiếp theo.

    Các Backup Starter GPO tách biệt

    Bạn phải tạo một quá trình backup tách biệt cho các Starter GPO. Điều này là bởi vì chúng không được backup thông qua phương pháp GPMC "Backup All" mà bạn có thể thực hiện với các GPO thông thường – nhưng chúng có một thủ tục backup riêng. Nếu bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All…”. Tùy chọn này sẽ backup tất cả các Starter GPO (xem hình 9).


    Hình 9: Backup tất cả Starter GPO cùng một lúc

    Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ thấy tùy chọn “Back Up…”. Tùy chọn này sẽ tạo một backup chỉ cho riêng Starter GPO này.

    Hình 10: Chọn một backup cục bộ

    Ủy nhiệm quyền hạn


    Cũng như nhiều tính năng khác của Windows, bạn có thể ủy nhiệm các điều khoản cho phép đối với một người dùng hay nhóm nào đó . Trong trường hợp này, bạn có thể ủy nhiệm các cho phép để tạo Starter GPO trong miền. Vấn đề này được thực hiện từ tab “Delegation”, đây là một tab chỉ thấy khi mục “Starter GPOs” được chọn trong cây menu bên trái, bên trong GPMC (xem hình 11).

    Hình 11: Tab Delegation cho Starter GPOs

    Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới SYSVOL (xem phần trên); chỉ có người dùng hay các nhóm được ủy quyền mới hiện trong đây.

    Kết luận


    Starter GPO là các mẫu có thể được sử dụng như những cơ sở cho GPO mới – giúp bạn nhanh chóng và dễ dàng trong việc tạo, export, cũng như import các thiết lập chính sách “Administrative Templates”. Chúng có thể không có các tính năng giống nhau như các mẫu GPO mà chúng ta có với AGPM – nhưng cho dù bạn không có một đăng ký DOP/SA theo yêu cầu thì vẫn có thể có một vài điểm miễn phí với Starter GPOs...



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  7. #6
    Cựu học viên
    Avatar của Neich_IT
    Status : Neich_IT đang ẩn
    Tham gia : Aug 2010
    Bài gửi : 452
    Blog Entries
    1
    Thanks : 28
    Thanked 117 Times in 50 Posts
    Bài Lab kết thúc lesson này
    Đón đọc Lessons 2:Tại đây Lessons 2: Quản lý Group Policy Scope



    -------------------------------------
    Chúc bạn thành công!
    Neich_IT

    NETSOVI - GIẢI PHÁP CÔNG NGHỆ VIỆT

  8. The Following User Says Thank You to Neich_IT For This Useful Post:

    k_hung (26-01-2012)

+ Trả lời bài viết

Quyền viết bài

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình