Home
MCSA
Bài 07: MCSA 2012 – OU – Group policy object – GPO [phần 2] Ở phần một bài “MCSA 2012 – OU – GPO –
Delegate: quản trị tài nguyên trên window server”. Chúng ta đã biết OU là gì, và cách Delegate quyền cho 1 user quản lý một OU là như thế nào. Phần tiếp theo này chúng ta sẽ biết về Group policy object [GPO]. Đây là nhóm đối tượng chịu sự áp dụng các bộ policy trong hệ thống. Trước khi bắt đầu bài học này, Hãy cùng Vũ i tờ’s Blog ôn lại các bài học trước để củng cố kiến thức nhé: Bây giờ, bạn hãy cùng với Vũ i Tờ 's blogtìm hiểu nội dung trong bài viết nhé! Cấp quyền cho user tạo policy Ở bài trước chúng ta đã tạo mô hình OU như sau: Ở bài này chúng ta sẽ bắt đầu gán Policy cho từng OU Trên máy client cài sẵn công cụ quản trị server từ xa RSAT . vào window, run, gõ gpedit.msc chọn hcm, “create a gpo in….” Đặt tên cho GPO mới Bạn sẽ nhận được thông báo, client không có quyền tạo GPO vì ko được cấp quyền. Mở RSAT lên Tìm nhóm Group policy creator owners trong OU usersÁp đặt policy cho từng OU
Cấp quyền tạo Group policy object – GPO
Phải chuột chọn property
Hiện tại chỉ có administrator mới có quyền tạo GPO cho OU
Add 2 user ithcm và ithn vào group
Bây giờ quay chở lại Group Policy Manager tạo lại mới GPO cho OU hcm
Ok, giờ thì bạn đã tạo được rồi đó.
Double click vào tên policy [hcm] để bắt đầu cáu hình policy
Ví dụ group policy thường sử dụng trong quản trị AD
Cám sử dụng ứng dụng trên OU là policy được sử dụng thường xuyên nhất trong doanh nghiệp, mục đích là để quản lý người dùng, không cho sử dụng những phần mềm không được phép hoặc game làm sao nhãng công việc
- Start run → gpmc.msc → dom9 → OU name → right click: create a GPO in this domain, and link
- OU: tạo policy được
- CN: không tạo policy được
- Chú ý: user sẽ bị ảnh hưởng policy từ cấp gần nhất. VD:
- Dom9 → cấm calc.exe
- Hcm → cấm notepad.exe
- ITHCM user → sẽ bị cấm notepad.exe và calc.exe
- Hcm → cấm notepad.exe
- Dom9 → cấm calc.exe
Vào window, run, gõ gpmc.msc
double click vào default domian policy
tìm đến policy “don’t run specific windows application”
chọn enable
chọn show, nhập calc.exe [đây là tên phần mềm máy tính cần cấm]
Ok 2 lần.
vào Run, nhập gpupdate /force để apply policy mới
Thử mở bảng tính lên, sẽ nhận thông báo lỗi sao, nghĩa là bạn đã apply policy mới thành công.
Cấm user mởi control panel
làm tương tự như trên, nhưng bạn tìm đến:
- user configuration
- policies
- administration template…
- control panel
- prohibit access to controll panel…
- control panel
- administration template…
- policies
chọn enable, xong ok
test thử mở control panel lên
Bạn sẽ nhận được thông báo ko mở được.
Một số lưu ý khi tạo Group Policy Oject [GPO]
- 2 cấp khác nhau có xung đột policy [cùng policy mà set khác nhau] user sẽ apply policy gần nhất
- 2 cấp khác nhau nhưng 2 policy không xung đột nhau, user sẽ bị áp policy ở cả 2 cấp
- Một policy có 3 giá trị
- Not configure
- Enable
- Disable
- Giá trị not configure và disable giống nhau ở local
- Giá trị not configure và disable khác nhau ở domain
Khi OU HCM bị block [vùng đặt quyền không bị ảnh hưởng từ trên]
Start run → gpmc.msc → OU name → right click → block inheritance
Enforce policy:
- Buộc tất cả OU ở dưới đều phải theo thằng cấp trên và không có vùng block. [thực hiện trên default domain policy]. Áp đặt chính sách cao hơn cho cấp thấp hơn bất chấp block policy
Bỏ áp policy cho user [admin tại vùng]: trường hợp muốn admin tại khu vực đó không bị ảnh hưởng bởi policy từ cấp cao
Start run → gpmc.msc → default domain policy → delegation → advance → add user admin → cấp quyền → apply group policy → Deny
Ok, thế là xong phần căn bản, bạn có thể tìm hiểu thêm những GPO khác trong các bài học tiếp theo nhé. hẹn gặp lại các bạn.
LỜI KẾT
[Học vui mỗi ngày – Chuyên mục học MCSA online] là tổng hợp những kiến thức hay từ khóa học MCSA 2012. Đây là chương trình đào tạo quản trị viên hệ thống dựa trên nền tảng Hệ Điều Hành máy chủ mới nhất của Microsoft – Windows Server.. Nếu bạn có thắc mắc hoặc ý kiến đóng ghóp cho bài viết đừng ngại đặt câu hỏi cho Vũ i Tờ ‘s Blog bằng cách để lại comment bên dưới nha. Cám ơn các bạn rất nhiều !!!
Bài cùng chuyên mục:
- học MCSA 2012
Phần lớn kiến thức mà tôi có được đều đến từ Internet. Đây là một nguồn tài nguyên khổng lồ nếu chúng ta biết khai thác. "Vũ i Tờ 's blog" đơn giản chỉ là nơi tôi chia sẻ kiến thức, kinh nghiệm, con người và cuộc sống.