Hướng dẫn group policy windows server 2012

Ở phần một bài “MCSA 2012 – OU – GPO – Delegate: quản trị tài nguyên trên window server”. Chúng ta đã biết OU là gì, và cách Delegate quyền cho 1 user quản lý một OU là như thế nào.

Phần tiếp theo này chúng ta sẽ biết về Group policy object [GPO]. Đây là nhóm đối tượng chịu sự áp dụng các bộ policy trong hệ thống.

Trước khi bắt đầu bài học này, Hãy cùng Vũ i tờ’s Blog ôn lại các bài học trước để củng cố kiến thức nhé:

• Bài đầu tiên: Các bước chuẩn bị để học MCSA 2012
• Bài 01: Hướng dẫn tạo Local User trong Win server bằng dòng lệnh
• Bài 02: Local Policy – quản lý chính sách nội bộ trên windows server
• Bài 03: MCSA 2012 – NTFS Permission: phân quyền truy cập NTFS
• Bài 04: MCSA 2012 – Cài đặt Domain Controller chỉ vài bước đơn giản
• Bài 05: MCSA 2012 – quản lý Domain User: cách Join Domain

Bây giờ, bạn hãy cùng với Vũ i Tờ 's blogtìm hiểu nội dung trong bài viết nhé!

Áp đặt policy cho từng OU

Cấp quyền cho user tạo policy

Ở bài trước chúng ta đã tạo mô hình OU như sau:

• Dom9
  • Users [group]
  • Phòng KD [OU] → áp đặt policy. Vd: cấm xài notepad
    • U1 [it KD]
    • u2
  • Phòng KT [OU]
    • U3 
    • U4 [it KT]
  • HCM
    • Q1
    • Q2
  • HN [OU]
    • BD
    • HK

Ở bài này chúng ta sẽ bắt đầu gán Policy cho từng OU

• Start run → dsa.msc → group policy creator owner properties → add user vào: user thuộc group nào được phép tạo policy cho OU
  • CN = container không tạo được policy

Trên máy client cài sẵn công cụ quản trị server từ xa RSAT .

vào window, run, gõ gpedit.msc

chọn hcm, “create a gpo in….”

Đặt tên cho GPO mới

Bạn sẽ nhận được thông báo, client không có quyền tạo GPO vì ko được cấp quyền.

Cấp quyền tạo Group policy object – GPO

Mở RSAT lên

Tìm nhóm Group policy creator owners trong OU users

Phải chuột chọn property

Hiện tại chỉ có administrator mới có quyền tạo GPO cho OU

Add 2 user ithcm và ithn vào group

Bây giờ quay chở lại Group Policy Manager tạo lại mới GPO cho OU hcm

Ok, giờ thì bạn đã tạo được rồi đó.

Double click vào tên policy [hcm] để bắt đầu cáu hình policy

Ví dụ group policy thường sử dụng trong quản trị AD

Cám sử dụng ứng dụng trên OU là policy được sử dụng thường xuyên nhất trong doanh nghiệp, mục đích là để quản lý người dùng, không cho sử dụng những phần mềm không được phép hoặc game làm sao nhãng công việc

• Start run → gpmc.msc → dom9 → OU name → right click: create a GPO in this domain, and link
  • OU: tạo policy được 
  • CN: không tạo policy được
• Chú ý: user sẽ bị ảnh hưởng policy từ cấp gần nhất. VD:
  • Dom9 → cấm calc.exe
    • Hcm → cấm notepad.exe
      • ITHCM user → sẽ bị cấm notepad.exe và calc.exe

Vào window, run, gõ gpmc.msc

double click vào default domian policy

tìm đến policy “don’t run specific windows application”

chọn enable

chọn show, nhập calc.exe [đây là tên phần mềm máy tính cần cấm]

Ok 2 lần.

vào Run, nhập gpupdate /force để apply policy mới

Thử mở bảng tính lên, sẽ nhận thông báo lỗi sao, nghĩa là bạn đã apply policy mới thành công.

Cấm user mởi control panel

làm tương tự như trên, nhưng bạn tìm đến:

• user configuration
  • policies
    • administration template…
      • control panel
        • prohibit access to controll panel…

chọn enable, xong ok

test thử mở control panel lên

Bạn sẽ nhận được thông báo ko mở được.

Một số lưu ý khi tạo Group Policy Oject [GPO]

• 2 cấp khác nhau có xung đột policy [cùng policy mà set khác nhau] user sẽ apply policy gần nhất
• 2 cấp khác nhau nhưng 2 policy không xung đột nhau, user sẽ bị áp policy ở cả 2 cấp
• Một policy có 3 giá trị
  • Not configure
  • Enable
  • Disable
• Giá trị not configure và disable giống nhau ở local
• Giá trị not configure và disable khác nhau ở domain 

Khi OU HCM bị block [vùng đặt quyền không bị ảnh hưởng từ trên]

Start run → gpmc.msc → OU name → right click → block inheritance

Enforce policy: 

• Buộc tất cả OU ở dưới đều phải theo thằng cấp trên và không có vùng block. [thực hiện trên default domain policy]. Áp đặt chính sách cao hơn cho cấp thấp hơn bất chấp block policy

Bỏ áp policy cho user [admin tại vùng]: trường hợp muốn admin tại khu vực đó không bị ảnh hưởng bởi policy từ cấp cao

Start run → gpmc.msc → default domain policy → delegation → advance → add user admin → cấp quyền → apply group policy → Deny

Ok, thế là xong phần căn bản, bạn có thể tìm hiểu thêm những GPO khác trong các bài học tiếp theo nhé. hẹn gặp lại các bạn.

LỜI KẾT

[Học vui mỗi ngày – Chuyên mục học MCSA online] là tổng hợp những kiến thức hay từ khóa học MCSA 2012. Đây là chương trình đào tạo quản trị viên hệ thống dựa trên nền tảng Hệ Điều Hành máy chủ mới nhất của Microsoft – Windows Server.. Nếu bạn có thắc mắc hoặc ý kiến đóng ghóp cho bài viết đừng ngại đặt câu hỏi cho Vũ i Tờ ‘s Blog bằng cách để lại comment bên dưới nha. Cám ơn các bạn rất nhiều !!!

Bài cùng chuyên mục:

• học MCSA 2012