Bài 7: Quản trị người dùng thông qua chính sách nhóm - Giáo trình FPT

Bài 7:Quản trị người dùng thông qua

chính sách nhóm

Bài 7:Quản trị người dùng thông qua

chính sách nhóm

Nội dung bài học trước

Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy

Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy

Bài 7 - Quản trị người dùng thông qua chính sách nhóm 2

Mục tiêu bài học

Cấu hình các thiết lập Group PolicyCấu hình Scripts và Folder Redirection với Group PolicyCấu hình Administrative TemplatesTriển khai cài đặt phần mềm bằng Group PolicyCấu hình Group Policy PreferencesGiới thiệu về Group Policy TroubleshootingKhắc phục sự cố về ứng dụng trong Group PolicyKhắc phục sự cố về thiết lập trong Group Policy

Cấu hình các thiết lập Group PolicyCấu hình Scripts và Folder Redirection với Group PolicyCấu hình Administrative TemplatesTriển khai cài đặt phần mềm bằng Group PolicyCấu hình Group Policy PreferencesGiới thiệu về Group Policy TroubleshootingKhắc phục sự cố về ứng dụng trong Group PolicyKhắc phục sự cố về thiết lập trong Group Policy


Tùy chọn cho việc cấu hình cácthiết lập Group Policy

Enable / DisableEnable / Disable Multi-valued settingsMulti-valued settings


Group Policy Scripts là gì?

Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page fileMAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/vBạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page fileMAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v

Các thiết lập Group Policy Scripts đượcsử dụng:Các thiết lập Group Policy Scripts đượcsử dụng:

• Cho máy tính

Startup scripts

Shutdown scripts

• Cho người dùng

Logon scripts

Logoff scripts


Folder Redirection là gì?

Folder redirection cho phép thưc mụcđược đặt trên máy chủ, nhưng sẽ xuấthiện như là 1 ổ đĩa cục bộ trên máy trạmcủa mỗi người dùng.

Folder redirection cho phép thưc mụcđược đặt trên máy chủ, nhưng sẽ xuấthiện như là 1 ổ đĩa cục bộ trên máy trạmcủa mỗi người dùng.

Các thư mục có thể chuyển hướng (Folder redirection):

• My Documents (Documents in Windows® Vista)• Application Data (AppData in Windows Vista)• Desktop• Start Menu

• My Documents (Documents in Windows® Vista)• Application Data (AppData in Windows Vista)• Desktop• Start Menu Các thư mục phụ có thể chuyển hướng

trong Windows Vista:

• Contacts• Downloads• Favorites

• Searches• Links


Folder Redirection

AccountingUsers

AccountsN-Z

AccountsA-M

• Sử dụng Folder Redirection cơ bản khitất cả người dùng lưu file của họ tới1 vị trí

• Với Folder Redirection nâng cao,các thư mục trên máy chủ được dựatrên các thành viên trong nhóm

AccountsN-Z

AccountingManagers

Anne

Misty

• Chọn vị trí thư mục đích:• Chuyển hướng tới thư mục home

của người dùng• Tạo 1 thư mục cho mỗi người dùng

theo Root Path ( đường dẫn gốc)• Chuyển hướng tới UserProfile

cục bộ


Thiết lập bảo mật choRedirected Folders

Full control - subfolders and files only

Administrator

Security group ofusers thatput data on share

Local System

Creator/Owner

• None

• List Folder/Read Data, Create Folders/Append Data - This FolderOnly

• Full control

NTFS permissions for root folder

Share permissions for root folder

Full control - subfolders and files onlyCreator/Owner

Security group ofusers thatput data on share

• Full control

%Username% • Full control, owner of folder

• None

• Full Control

NTFS permissions for each users’ redirected folder

Administrators

Local system

Full control - subfolders and files onlyCreator/Owner


Administrative Templates là gì?

Administrative Templatescho máy tính:

• Windows components• System• Network• Printers

Administrative Templates chongười dùng:

• Windows components• Start menu and taskbar• Desktop• Control panel• Shared folders• Network• System• Applications

Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hànhvà người dùng

Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hànhvà người dùng

• Windows components• System• Network• Printers

• Windows components• Start menu and taskbar• Desktop• Control panel• Shared folders• Network• System• Applications


Chỉnh sửa Administrative Templates

ADMX files:• Có khả năng mở rộng• Có thể chỉnh sửa bằng nhiều trình soạn thảo

Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặcCentral StoreCác file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặcCentral Store


Chuẩn bị

11

Tùy chọn cho triển khai và quản lýphần mềm sử dụng Group Policy

Triển khai

1.0

22

Duy trì

2.0

33

Gỡ bỏ

44


Software Distribution làm việc như thếnào?

Windows Installer

Windows Installer service

Tự động hoàn toàn khi cài đặtvà cấu hình phần mềm

Sửa đổi hay sửa chữa một càiđặt ứng dụng đã tồn tại




Windows Installer package contains

Thông tin về việc cài đặt hay gỡ bỏ 1 ứngdụng

Một file .MSI hay bất kìa 1 file theo nguồnbên ngoài

Tóm tắt thông tin về ứng dụng

Tham khảo thời 1 điểm cài đặt






















Lợi ích khisử dụng

Windows

Installer

Tùy chỉnh khicài đặt

Khả năng phục hồicác ứng dụng

Gỡ bỏ hoàn toàn

Tùy chỉnh khicài đặt

Khả năng phục hồicác ứng dụng

Gỡ bỏ hoàn toàn


Điểm phân bố phầnmềm


Tùy chọn cho việc cài đặt phần mềm

Gán phần mềm trong khicấu hình máy tính

Gán phần mềm trong khicấu hình máy tính



Áp dụng phần mềm sử dụngdocument activation

Áp dụng phần mềm sử dụngdocument activation

?

Áp dụng phần mềm bằngcách dùng chức năng

Add or RemovePrograms

Áp dụng phần mềm bằngcách dùng chức năng

Add or RemovePrograms

Gán phần mềm trong khicấu hình người dùng

Gán phần mềm trong khicấu hình người dùng


Tùy chọn cho chỉnh sửa SoftwareDistribution

Các tùy chọn:Phần mềm có thể được phân loại trong Add Programs

Phần mềm triển khai có thể được tùy chỉnh bằng cách sử dụngfile MST

Phần mở rộng có thể được liên kết với các ứng dụng cụ thể

Công bố các gói:

Ấn định các gói:

Advertised trong Active Directory có sẵn cho người dùng để cài đặt bằng Add orRemove Programs trong Control Panel

Ứng dụng được cài đặt tự động và sẽ được tự động cài đặt lại nếu bị gỡ bỏ


Duy trì phần mềm đã được cài đặt bằngGroup Policy

Bắt buộc nâng cấp

Người dùng chỉ cóthể sử dụngphiên bản đãnâng cấp

Người dùng cóthể quyết địnhviệc nâng cấp.

2.0

1.02.0

Triển khai nâng cấpphiên bản mới của

ứng dụng

Triển khai nâng cấpphiên bản mới của

ứng dụng

Tùy chọn nâng cấp

Người dùng cóthể quyết địnhviệc nâng cấp.

Chọn lựa để nâng câp

Bạn có thể chọncác người dùngđặc biết cho 1 lầnnâng cấp

2.0

1.0

2.0


Group Policy Preferences là gì?

Group Policy Preferences mở rộng phạm vi của cấu hình cácthiết lập bên trong một GPO

Không được thực thi

Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điềuhành và cài ứng dụng mà không được có khả năng quản lýbằng Group Policy

Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điềuhành và cài ứng dụng mà không được có khả năng quản lýbằng Group Policy


Sự khác nhau giữa Group PolicySettings và Preferences

Group Policy settings Group Policy preferences

Thực thi các thiết lập chính sáchbằng cách viết các thiết lập cho cáckhu vực của registry mà ngườidùng không thể sửa đổi

Được ghi vào vị trí bình thường trongregistry mà các ứng dụng hoặc tínhnăng hệ điều hành sử dụng để lưu trữcác thiết lập


Vô hiệu hóa giao diện người dùngcho các thiết lập Group Policy đượcquản lý

Không gây ra các ứng dụng hoặc hệđiều hành để vô hiệu hóa giao diệnngười dùng cho các thiết lập cấu hình

Làm mới thiết lập chính sách tạimột khoảng thời thường xuyên

Làm mới thiết lập chính sách cùngkhoảng thời gian như các thiết lậpGroup Policy mặc định

Các tính năng của Group PolicyPreferences

Targeting FeaturesCommon Tab

Được sử dụng để cấu hình các tùy chọnbổ sung để điều khiển hoạt động của 1Group Policy preference

Xác định để người dùng và máy tínhđược áp dụng


Triển khai Group Policy Preferences

Windows Server 2008 đã bao gồm Group Policy preferences.Mặc định như 1 phần của GPMC Windows Server 2008 đã bao gồm Group Policy preferences.Mặc định như 1 phần của GPMC

Group Policy preferences Client side extension (CSE) phải được triển khai tớibất kỳ các máy trạm nào bạn muốn ưu tiên triển khai


Các kịch bản cho Group PolicyTroubleshooting

Các kịch bản yêu cầu khi khắc phục sự cố

Chính sách được áp dụng, nhưng các thiết lập không phù hợp

Không áp đặt các chính sách


Chuẩn bị cho việc khắc phục sự cốGroup Policy

Các bước khắc phục sự cố đơn giản:

Đảm bảo rằng DNS đang hoạt động bằng cách sử dụng nslookup

Thực hiện các kiểm tra cơ bản để kiểm tra kết nối mạng: sử dụng cáccông cụ như netdiag hoặc ping

Kiểm tra Event Viewer

Kiểm tra domain controller đang hoạt động và có thể truy cập: Sử dụnglệnh dcdiag hoặc công cụ Kerbtray

Use Group Policy Results để biết rằng các chính sách đang được áp dụng


Các công cụ để khắc phục sự cốGroup Policy

Một số công cụ để khắc phục sự cố GroupPolicy:

Group Policy reporting – RSoP GPResult Gpotool• Gpupdate• Dcgpofix• GPOLogView• Group Policy log files• Group Policy Management Scripts

Group Policy reporting – RSoP GPResult Gpotool• Gpupdate• Dcgpofix• GPOLogView• Group Policy log files• Group Policy Management Scripts


Khắc phục sự cố thừa kế Group Policy

Production

Domain

GPOs

Ngăn chặn thừa kế chính sáchtừ việc áp dụng toàn bộ subtrees OU

Sales

No GPOsettings apply

No GPOsettings apply

Ngăn chặn thừa kế chính sáchtừ việc áp dụng toàn bộ subtrees OU


Khắc phục sự cố khi lọc Group Policy

Production

Domain

GPO

WMIfilter

Lọc Group Policy có thểchỉ ảnh hưởng đến mộtsố người dùng và máytính trong OU.

Sales

Mengph

Kimyo

Group ApplyGroup Policy

ApplyGroup Policy

Deny

Read andApply

Group Policy

Read andApply

Group PolicyAllow

Lọc Group Policy có thểchỉ ảnh hưởng đến mộtsố người dùng và máytính trong OU.


Khắc phục sự cố khi đồng bộGroup Policy

• Group Policy objects bao gồm các mẫu Group Policyvà Group Policy containers

• Group Policy Templates (GPT) và GPOs được nhân rộngvà đồng bộ theo nhiều cơ chế khác nhau.

• Vấn đề đồng bộ có thế là nguyên nhân domain controllerskhông có các phiên bản phù hợp với Group Policy

• Công cụ GPOTool có thể kiểm tra chính sách nhất quántrên tất cả các domain controllers

GPTGPT

GPCGPC

• Group Policy objects bao gồm các mẫu Group Policyvà Group Policy containers

• Group Policy Templates (GPT) và GPOs được nhân rộngvà đồng bộ theo nhiều cơ chế khác nhau.

• Vấn đề đồng bộ có thế là nguyên nhân domain controllerskhông có các phiên bản phù hợp với Group Policy

• Công cụ GPOTool có thể kiểm tra chính sách nhất quántrên tất cả các domain controllers

DC1 DC2GPO1

Version 3

GPO1

Version 2

AD DS Replication

File Replication ServiceGPTGPT

GPCGPC


Khắc phục sự cố khi làm mới GroupPolicy

Nếu Group Policy không được làm mới:

• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính

đã khởi động lại hay chưa?• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể

làm chậm hiệu ứng của Group Policy• Kiểm tra lại chính sách vòng lặp

• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính

đã khởi động lại hay chưa?• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể

làm chậm hiệu ứng của Group Policy• Kiểm tra lại chính sách vòng lặp

Sử dụng GPUpdate để:

• Làm mới các thiết lập chính sách đã được cập nhật thủ 1 cáchthủ công

• Bắt buộc làm mới tất cả các thiết lập Group Policy• Nếu có yêu cầu làm mới lại các thiết lập thì bắt buộc phải đăng

xuất hoặc khởi động lại máy tính


Khắc phục sự cố thiết lậpAdministrative Template Policy

Khi xử lý sự cố Administrative Templates,chúng ta phải xem xét:

Administrative Templates là các chính sách đúng hoặc được ưu tiên

Các thiết lập là chính sách đúng đã được dành riêng khi các chínhsách đó không được áp dụng

Các thiết lập ưu tiên vẫn được có hiệu lực cho đến khi bịthay đổi

Các thiết lập là chính sách đúng đã được dành riêng khi các chínhsách đó không được áp dụng

Xác định hệ điều hành và các service pack khi các máy tính đượcchấp nhận các thiết lập.


Khắc phục sự cố các thiết lậpScript Policy

Khi khắc phục sự cố thiết lập script policy,xem xét các vấn đề sau:

Xác nhập Scripts

Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts

Đảm bảo rằng Group Policy đã được cấu hình đúng

Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts

Đảm bảo rằng script được sao lưu đúng cách

Sử dụng các công cụ Group Policy để đảm bảo Group Policyđược áp dụng đúng


Tổng kết bài học

Khái niệm và cách cấu hình các thiết lập Group Policy,Scripts và Folder RedirectionKhái niệm và cấu hình Administrative TemplatesCơ chế Software Distribution và các tùy chọnGroup Policy Preferences so với Group Policy settingsCác công cụ hỗ trợ khắc phục sự cố Group policy: thừakế, lọc, đồng bộ, làm mới...

Khái niệm và cách cấu hình các thiết lập Group Policy,Scripts và Folder RedirectionKhái niệm và cấu hình Administrative TemplatesCơ chế Software Distribution và các tùy chọnGroup Policy Preferences so với Group Policy settingsCác công cụ hỗ trợ khắc phục sự cố Group policy: thừakế, lọc, đồng bộ, làm mới...
