Lab 5: Implementing Group Policy ---oOo--- · PDF fileModule 70 – 290 MaIT ... Lab 5: Implementing Group Policy ... 11. Để cấm các user trong Group KinhDoanh sử dụng chương

Module 70 – 290 MaIT Education Institution

Phòng chuyên môn Mạng Website: http://www.mait.vn Lưu hành nội bộ Forum: http://forum.mait.vn

1

Lab 5: Implementing Group Policy ---oOo---

A. YÊU CẦU: I. Giới thiệu: II. Mục tiêu:

• Tìm hiểu về các chính sách của công cụ Group Policy trong môi trường Domain. • Biết cách áp dụng các chính sách của Group Policy để quản lý và cấp quyền sử

dụng tài nguyên cho user trên các máy trạm.

III. Yêu cầu bài Lab: • Các Anh/Chị hãy tiến hành nâng cấp máy SRV1 là máy Server Stand-alone thành

máy Domain Controller quản lý miền mait.vn. • Tiến hành gia nhập máy trạm Window XP vào miền mait.vn do máy Domain

Controller SRV1 quản lý. • Tiến hành tạo các tài khoản nhóm và tài khoản người dùng thuộc các nhóm như

sau: Nhóm GiamDoc : Cường, Trọng Nhóm KinhDoanh : Ngọc, Phương, Toàn Nhóm KeToan : Kieu, Thanh, Thao

• Các Anh/Chị sử dụng chức năng Group Policy trên máy Domain Controller để triển khai các chính sách sau: Chỉ cho phép các tài khoản người dùng thuộc phòng Kế Toán sử dụng các ứng

dụng Office như: Word, Excel…,Internet Explore, Notepad, Calculator, Command Prompt.

Cấm các tài khoản người dùng trong phòng Kinh Doanh chạy chương trình Winrar.

Các người dùng thuộc phòng Kế Toán và Kinh Doanh không được truy cập vào Công cụ Control Panel, bỏ chức năng Run ở Start Menu. Xóa 2 tab Security và Connection trong Internet Option của Internet Explore.

Tắt chức năng Change Password và Task Manager của những người dùng thuộc nhóm Kinh Doanh.

Tạo file Script tự động thực thi việc map ổ đĩa mạng từ trên Server về các máy trạm của Client.

B. HƯỚNG DẪN: I. Các bước chuẩn bị:

• Chuẩn bị một máy ảo Windows Server 2003 với các thông số sau: Computer name : SRV1 Ip Address : 192.168.10.1 Subnet mask : 255.255.255.0



2

• Chuẩn bị một máy ảo Windows XP Professional với các thông số sau: Computer name : PC01 Ip Address : 192.168.10.20 Subnet mask : 255.255.255.0

• Chuẩn bị đĩa source cài đặt của Windows 2003 Server (file .iso sẽ thay thế cho đĩa CDROM).

II. Các bước thực hiện:

Bước 1: Nâng cấp máy SRV1 Stand-alone lên thành máy Domain Controller (xem Lab trước).

Bước 2: Cho máy client Windows XP join domain (xem Lab trước). Bước 3: Tạo các group và các user thuộc vào group đó. 1. Bạn vào đường dẫn Start\Programs\Administrative Tools\ và nhấp chuột chọn Active Directory Users and Computer. Lúc này, bạn sẽ thấy cửa sổ Active Directory Users and Computers xuất hiện.

MaIT Educationhttp://www.MaIT.vn



3

2. Để tạo Group cho Doamin, tại cửa sổ Active Directory Users and Computers, bạn click phải tại tên domain sau đó chọn New/Group. Bạn sẽ thấy xuất hiện cửa sổ New Object – Group.

MaIT Education http://www.MaIT.vn




4

3. Tại cửa sổ New Object – Group, bạn nhập vào text box ‘Group name’ tên của group mà bạn muốn tạo ở đây là GiamDoc. Cuối cùng bạn chọn nút OK. Bạn thao tác tương tự cho các group KinhDoanh và KeToan.

4. Để tạo user cho domain, bạn cũng click phải tại tên domain sau đó chọn New/User. Bạn sẽ thấy hiển thị cửa sổ New Object – User.





5

5. Tại cửa sổ New Object – User, bạn nhập vào các text box ‘First name’, ‘Last name’ và ‘Full name’. Text box quan trọng nhất là User logon name bạn nhập vào đúng tên user mà bạn muốn tạo cho người dùng sử dụng log on vào máy trạm. Sau đó, bạn chọn nút Next để chuyển qua hộp thoại để đặt password cho user.

6. Tại hộp thoại để đặt password bạn nhập password mà bạn muốn user xác thực với domain khi người dùng log on vào máy trạm. Bạn check vào hai mục User cannot change password và Password never expires để không cần user đổi password và password sẽ không hết hạn. Sau đó, bạn nhấn tiếp nút Next và ở hộp thoại kế tiếp bạn nhấn nút Finish. Những users còn lại các bạn thao tác tương tự.





6

7. Sau khi tạo user, để chỉ định user thuộc vào group nào bạn click phải tại tên user chọn Properties.

8. Ví dụ ta chọn tại user có tên là cuong. Lúc đó, cửa sổ Cuong Properties sẽ xuất hiện.





7

9. Tại cửa sổ Cuong Properties bạn chọn tab Member Of và nhấn nút Add để thêm vào những group mà bạn muốn user này thuộc vào.

10. Khi nhấn nút Add, cửa sổ Select Group sẽ hiện lên bạn nhập vào tên group và chọn nút Check Names để kiểm tra lại tên bạn nhập có đúng không. Cuối cùng bạn chọn nút OK để hoàn tất. Các user khác bạn cũng thao tác tương tự.





8

Bước 4: Sử dụng Group Policy Object để triển khai các chính sách cho các nhóm người dùng.

1. Group Policy Object chỉ có thể apply lên các đơn vị quản lý gồm Site, Domain,

Organizational Unit(OU). Đơn vị được phép apply GPO nhỏ nhất là OU. Group không thể apply GPO.

2. Hai đối tượng mà GPO có thể tác động là user và máy trạm.Để triển khai chính sách

của GPO cho các user và máy trạm một cách hiệu quả. Ta tạo ra các OU và Move các user và máy trạm vào trong các OU tương ứng. Sau đó, ta sẽ tạo ra các GPO cho từng OU.

3. Đầu tiên chúng ta tạo các OU và chỉ định cho các users thuộc vào OU. Tại cửa sổ

Active Directory Users and Computers bạn click phải tại tên miền và chọn New\Organizational Unit. Cửa sổ New Object – Organizational Unit xuất hiện. Tại cửa sổ này bạn nhập vào tên của OU mà bạn muốn tạo ra và nhấn nút OK. Tương tự vậy bạn tạo thêm 3 OU nữa.




9

4. Bước tiếp theo bạn chỉ định cho user thuộc vào các OU đã tạo. Ở đây các user thuộc group GiamDoc sẽ cho vào OU1, các user thuộc group KinhDoanh sẽ cho vào OU2 và các user thuộc group KeToan sẽ cho vào OU3.

5. Bạn click phải tại user và chọn Move. Cửa sổ Move hiện lên bạn click chọn OU1 và nhấn nút OK. Bạn thao tác tương tự cho các user còn lại.





10

6. Ta tiến hành apply chính sách GP cho OU3 để chỉ cho phép các tài khoản người dùng thuộc phòng Kế Toán sử dụng các ứng dụng Office như: Word, Excel…,Internet Explore, Notepad, Calculator, Command Prompt.

7. Bạn click chuột phải tại OU3 và chọn Properties. Cửa sổ OU3 Properties xuất hiện bạn chọn tab Group Policy , chọn nút New để tạo một GPO mới. Bạn sửa tên của GOP mới lại thành GPO1.





11

8. Tiếp theo bạn chọn nút Edit để chỉnh sửa các chính sách cho phù hợp với yêu cầu bài Lab. Sau khi chọn Edit cửa sổ Group Policy Object Editor hiện lên.





12

9. Tại cửa sổ bên trên bạn vào đường dẫn sau User configuration\Administrative templates\System. Sau đó bạn duple click chọn chính sách có tên Run only allow Windows application.

10. Tại cửa sổ Run only allowed Windows applications bạn check vào mục Enable. Sau đó bạn chọn nút Show. Cửa sổ mới hiện lên với tên Show Contents bạn chọn tiếp nút Add. Bạn thấy xuất hiện một cửa sổ Add Item nhỏ bạn nhập vào tên file chạy của chương trình ứng dụng mà bạn muốn cho phép. Ở đây ta cho phép chương trình Microsoft Word bạn nhập ‘WINWORD.EXE’. Nhập xong bạn nhấn nút OK. Quay lại cửa sổ Show Contents, bạn cũng nhấn nút OK nếu đã chọn xong các ứng dụng mà bạn muốn cho phép. Tương tự quay lại cửa sổ Run only allowed applications Properties ta chọn núnt Apply và OK.




13

11. Để cấm các user trong Group KinhDoanh sử dụng chương trình Winrar. Bạn thao tác các bước trên OU2 tương tự như ta đã thực hiện cho OU3.





14

12. Tại các chình sách trong User configuration\Administrative templates\System ta tìm policy có tên Don’t run specified windows applications. Bạn duple click tại chính sách này và cửa sổ có tên tương ứng sẽ xuất hiện bạn check vào mục Enable rồi nhấn nút Show. Bạn thấy cửa sổ Show Contents hiện lên bạn chọn nút Add. Cửa sổ Add Item xuất hiện bạn nhập tên file chạy của ứng dụng mà bạn muốn cấm vào. Ở đây ta nhập ‘WINRAR.EXE’. Nhập xong bạn chọn nút OK. Quay lại cửa sổ Show Contents nếu không còn chương trình nào muốn cấm bạn chọn nút OK. Sau đó, tại cửa sổ Don’t run specified windows applications bạn chọn nút Apply và OK.




15

13. Để triển khai chính sách sao cho các người dùng thuộc phòng Kế Toán và Kinh

Doanh không được truy cập vào công cụ Control Panel, bỏ chức năng Run ở Start Menu, xóa 2 tab Security và Connection trong Internet Option của Internet Explore. Ta tạo một GPO3 mới cho OU3 và trỏ GPO3 này cho OU2.





16

14. Ta vào đường dẫn User Configuration\Administrative Templates\Control Panel trên Group Policy Object Editor. Tại đây bạn tìm chính sách có tên Prohibit access to the Control Panel. Bạn duple click tại chính sách Prohibit access to the Control Panel.





17

15. Cửa sổ Prohibit access to the Control Panel Properties xuất hiện. Bạn check mục Enable rồi chọn nút Apply và OK.

16. Bạn tìm tiếp chính sách có tên Remove Run menu from Start menu tại đường dẫn User Configuration\Administrative Templates\Start Menu and Taskbar. Bạn double click để mở chính sách này lên.





18

17. Tại cửa sổ vừa hiện lên, bạn check vào mục Enable và chọn nút Apply và OK.

18. Để xóa 2 tab Security và Connection trong Internet Option của Internet Explore bạn vào đường đẫn User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel. Bạn duple click tại Disable the Security page.





19

19. Tại cửa sổ vừa hiện lên, bạn check vào mục Enable và chọn nút Apply và OK.

20. Tương tự bạn cũng duple click chính sách có tên Disable the Connection page. Tại cửa sổ Disable the Connection page Properties bạn check vào mục Enable rồi chọn nút Apply và OK.





20

21. Sau khi chỉnh sửa các chính sách trong GPO3 của OU3, ta tiến hành apply GPO3 cho OU2. Bạn mở cửa sổ Active Directory Users and Computer. Bạn click chuột phải tại OU2 và chọn Properties.

22. Cửa sổ OU2 Properties hiện lên. Bạn chọn tab Group Policy. Bạn nhấn nút Add. Trên cửa sổ mới, tại text box Look in bạn sổ ra và chọn domain MaIT.vn. Các OU của domain sẽ xuất hiện bên dưới text box. Bạn duple click trên OU3.MaIT.vn và chọn GPO3. Cuối cùng, bạn nhấn nút OK.





21

23. Quay lại cửa sổ OU2 Properties bạn nhấn nút Apply và OK.

24. Để tắt chức năng Change Password và Task Manager của những người dùng thuộc nhóm Kinh Doanh. Ta tạo tiếp cho OU2 một GPO4 và edit lại tại các chính sách có tên Remove Task manager và Remove Change Password.





22

25. Bạn duple click tại Remove Task Manager và Remove Change Password. Tại cửa sổ mới hiện lên bạn check vào mục Enable và chọn nút Apply và OK.





23

26. Tạo file Script tự động thực thi việc map ổ đĩa mạng từ trên Server về các máy trạm của Client. Ví dụ ở đây ta máp ổ đĩa tự động cho các user của OU1, OU2, OU3. Lưu ý các user phải được quyền ghi trên các thư mục share tại máy Server.

• B1: Dùng notepad soạn file có nội dung như sau: net use Z: \\192.168.10.1\MaIT\%username%

• B2: Lưu file vừa tạo với tên mở rộng là mait.bat trên ổ đĩa D • B3: Tạo thư mục tên là MaIT có các thư mục con tên: Cuong, Trong. Bạn

share thư mục MaIT với quyền ghi cho mọi users thuộc 3 group GiamDoc, KinhDoanh, KeToan. Trong từng thư mục bạn cho các user cùng tên với thư mục đó được phép ghi.




24

• B4: Tạo GPOScript cho OU1 • B5: Tại cửa sổ Group Policy Object Editor bạn vào đường dẫn User

Configuration\Windows Settings\Scripts(Logon/Logoff) bạn duple click tại chính sách Logon.




25

• Tại cửa sổ Logon Properties bạn nhấn nút Show Files bạn sẽ thấy một cửa sổ mới hiện lên. Bạn copy file mait.bat và paste vào cửa sổ này.





26

• Quay lại cửa sổ Logon Properties bạn nhấn vào nút Add. Bạn sẽ thấy cửa sổ Add a Script xuất hiện, tại đây bạn chọn nút Browse. Tại cửa sổ Browse bạn chọn file mait.bat và chọn Open. Quay lại cửa sổ Add a Script bạn chọn nút OK.

• Tiếp tục quay lại cửa sổ Logon Properties bạn chọn hai nút Apply và OK để hoàn tất.



Documents

Lab 5: Implementing Group Policy ---oOo--- · PDF fileModule 70 – 290 MaIT ... Lab 5: Implementing Group Policy ... 11. Để cấm các user trong Group KinhDoanh sử dụng chương