Bài 6:Triển khai hạ tầng chính sách nhóm (GP)

Nội dung bài học trước

Kết nối máy trạm vào DomainQuản trị tài khoản máy tính

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 2

Mục tiêu bài học

Tổng quan về Group PolicyPhạm vi cấu hình của các đối tượng Group PolicyĐánh giá ứng dụng của các đối tượng Group PolicyQuản lý các đối tượng Group PolicyUỷ quyền quản trị Group Policy

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 3

Group Policy là gì?

Sử dụng Group Policy để:

• Áp đặt các cấu hình chuẩn

• Triển khai cài đặt phần mềm

Group Policy cho phép người quản trị để tự động hóa quản lý một tới nhiều ngườidùng và máy tính khác nhau.Group Policy cho phép người quản trị để tự động hóa quản lý một tới nhiều ngườidùng và máy tính khác nhau.

• Triển khai cài đặt phần mềm

• Thực thi các thiết lập bảo mật

• Thực thi 1 môi trường máy tính để bàn phù hợp

Local Group Policy luôn luôn có hiệu lực cho các thiệt lập tới người dùng, máy tínhlà domain nội bộ.Local Group Policy luôn luôn có hiệu lực cho các thiệt lập tới người dùng, máy tínhlà domain nội bộ.

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 4

Các thiết lập Group Policy

• Software• Windows• Security• Desktop

Group Policysettings forusers controlthese settings:

Các thiết lập GPcho việc kiểmsoát người dùng:

Các thiết lập GPcho việc kiểmsoát máy tính:

• Software• Windows• Security• Operating systems

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 5

Group Policy được áp dụng như thế nào?

Máy tính khởi động

• Áp đặt các thiết lập cho

máy tính

• Chạy các kịch bản

khởi động

Chu kỳ Refresh: mỗi 90 phútChu kỳ Refresh: mỗi 90 phút

Người dùng đăng nhập

• Áp đặt các thiết lập cho

người dùng

• Chạy các kịch bản

đăng nhập

Chu kỳ Refresh: mỗi 90 phútChu kỳ Refresh: mỗi 90 phút

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 6

Các ngoại lệ khi xử lý Group Policy

• Windows XP and Windows Vista sử dụng lưu thôngtin bộ đệm để đăng nhập nhanh hơn.

• Nhiều thiết lập GPO tạo 2 lần đăng nhập để có hiệulực.

• Theo mặc định là 500 kilobits mỗi giây(kbps)• Các phần mở rộng từ máy trạm không được xử lý.• Trước Windows Vista, ICMP được sử dụng để phát

hiện một liên kết chậm.• Windows Vista sử dụng Network Location

Awareness.

Các liên kết chậm

Thêm vào đó:

• Windows XP and Windows Vista sử dụng lưu thôngtin bộ đệm để đăng nhập nhanh hơn.

• Nhiều thiết lập GPO tạo 2 lần đăng nhập để có hiệulực.

Lưu thông tinbộ đêm

• Các kết nối truy cập từ xa.• Chuyển 1 đối tượng người dung hoặc máy tính trong AD DS

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 7

Các thành phần của Group Policy

Group Policy ObjectGroup Policy Object

• Lưu trữ trong AD DS• Cung cấp thông tin phiên bản

Group Policy ContainerGroup Policy Container

• Lưu trữ trong thư mục chia sẻ SYSVOL• Cung cấp các thiệt lập GP• Hỗ trợ cả các mẫu ADM và

ADMX

Group Policy TemplateGroup Policy Template

• Chứa các thiết lập GP• Lưu trữ thông tin ở 2 địa điểm:

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 8

Các files ADM và ADMX là gì?

File ADM là:

• Được sao chép vào mỗi GPO trong SYSVOL• Khó để tùy chỉnh

File ADMX là:

• Ngôn ngữ trung lập• Không được lưu trữ trong GPO• Mở rộng thông quá XML

• Ngôn ngữ trung lập• Không được lưu trữ trong GPO• Mở rộng thông quá XML

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 9

Lưu trữ tập trung là gì?

Lưu trữ tập trung:• Là 1 kho lưu trữ trung tâm cho các file ADM và ADMX• Được lưu trong thư mục SYSVOL• Phải được tạo thủ công• Được phát hiện tự động bởi Windows Vista

hoặc Windows Server 2008

Windows Vistahoặc máy trạm

Windows Server 2008

Windows Vistahoặc máy trạm

Windows Server 2008

ADMX filesADMX files

Domain controllerwith SYSVOL

Domain controllerwith SYSVOL

Domain controllerwith SYSVOL

Domain controllerwith SYSVOL

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 10

Thứ tự xử lý Group Policy

Site

GPO2GPO2

GPO3GPO3

GPO1GPO1

Local groupLocal group

Domain

OUOUOUOU

OU

GPO3GPO3

GPO4GPO4

GPO5GPO5

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 11

Multiple Local Group Policy Objectslà gì?

•Một lớp của các cấu hình máy tính được áp đặt cho tất cảngười dùng

•Các lớp chỉ áp dụng cho người dùng, không cho các nhóm

• Đây là 3 lớp cấu hình của User Configurations :• Administrator• Non-Administrator• User-specific

• Đây là 3 lớp cấu hình của User Configurations :• Administrator• Non-Administrator• User-specific

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 12

Các tùy chọn cho quá trình chỉnh sửaGroup Policy

5 phương pháp để chỉnh sửa GPO mặc định:

• Chặn quyền thừa kế

• Thực thi• Thực thi

• Lọc bằng cách sử dụng các nhóm bảo mật hoặc các bộ lọc WMI

• Vô hiệu hóa các GPO

• Xử lý vòng lặp

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 13

Xử lý các công việc vòng lặp như thếnào?

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 14

Báo cáo Group Policy là gì?

•Kêt quả Group Policy được cung cấp bởi GPMC

• GPResult là 1 tiện ích sử dụng dòng lệnh

Báo cáo Group Policy là một phương pháp lập kế hoạch và khắc phục sự cố choGroup PolicyBáo cáo Group Policy là một phương pháp lập kế hoạch và khắc phục sự cố choGroup Policy

• GPResult là 1 tiện ích sử dụng dòng lệnh

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 15

Mô hình Group Policy là gì?

Mô phỏng về Group Policy Modeling Wizard:

• Site membership• Security group membership• Các bộ lọc WMI• Các liên kết chậm• Xử lý vòng lặp• Các ảnh hưởng của việc di chuyển người dùng hoặc máy tính

tới 1 Active Directory khác.

Group Policy Modeling Wizard tính toán việc mô phỏng các ảnh hưởngtới GPO.

• Site membership• Security group membership• Các bộ lọc WMI• Các liên kết chậm• Xử lý vòng lặp• Các ảnh hưởng của việc di chuyển người dùng hoặc máy tính

tới 1 Active Directory khác.

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 16

Quản lý các nhiệm vụ của GPO

Quản lý các nhiệm vụ của GPO:

• Sao lưu các GPO• Khôi phục các GPO• Sao chép các GPO• Nhập các GPO có sẵn

• Sao lưu các GPO• Khôi phục các GPO• Sao chép các GPO• Nhập các GPO có sẵn

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 17

Starter GPO là gì?

Lưu trữ các mẫu thiết lập quản trị GPO mới sẽ được đưaraCó thể xuất ra các file .cabCó thể được nhập từ các khu vực khác của doanh nghiệp

Xuất ra file .CABXuất ra file .CAB

starterGPOstarterGPO .cab file.cab file

Nhập từ GPMCNhập từ GPMC

Loadcabinet file

Loadcabinet file

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 18

Tiện ích ADMX Migrator:

Di chuyển Group Policy Objects

• Có thể sử dụng để chuyển đổi file ADM sang file ADMX

• Có thể tải về từ trang download tiện ích của Microsoft

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 19

Các tùy chọn cho việc ủy quyền quảntrị GPO

Methods to delegatecontrol of GPOs

Tạo GPOtrongdomain

Sửa hoặcxóa GPOs

Kết nối cácGPO vào cáccontainer

Sử dụng cáccông cụ báocáo

Thành viên trong nhóm GroupPolicy Creator Owner hoặcđược phép để tạo các GPO

Thành viên trong nhóm GroupPolicy Creator Owner hoặcđược gán quyền Sửa trong 1chính sách cụ thể

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 20

Thành viên trong nhóm GroupPolicy Creator Owner hoặcđược gán quyền Sửa trong 1chính sách cụ thể

Thành viên trong nhóm GroupPolicy Creator Owner hoặcđược ủy quyền Kết nối GPOvào containers

Thành viên trong nhóm GroupPolicy Creator Owner hoặcđược ủy quyền sử dụng cáccông cụ báo cáo Group Policy

Tổng kết bài học

Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy

Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP) 21