ÁP DỤNG SECURITY FILTERING TRONG CHÍNH SÁCH NHÓM

ÁP DỤNG SECURITY FILTERING TRONG CHÍNH SÁCH NHÓM

Lọc bảo mật (Security Filtering) là một tính năng của GPO cho phép bạn giới hạn những gì tài khoản người dùng hoặc máy tính bị ảnh hưởng bởi cài đặt GPO và cho phép bạn ủy quyền quản lý GPO.

Trong bài này, các bạn sẽ sử dụng Security Filtering để lọc ra một tài khoản người dùng mặc dù nằm trong một OU đang chịu tác động của các chính sách nhóm nhưng sẽ không bị các chính sách nhóm tác động đến.

Để thực hiện bài này, bạn sẽ sử dụng 2 máy ảo:

  1. Một máy ảo chạy HĐH Windows Server 2019 đã nâng cấp thành máy Domain Controller, với các thông tin:
     Computer name: MiniLessons_Server2019
     IP Address: 192.168.1.1
  2. Một máy ảo chạy HĐH Windows 10 đã gia nhập miền
     Computer name: Win10PTK
     IP Address: 192.168.1.10

Bạn cần tạo sẵn một vài tài khoản người dùng thuộc một OU mà bạn cũng tạo sẵn để triển khai chính sách nhóm trên đó. Bài này minh họa 4 tài khoản người dùng (Tý, Sửu, Dần, Mẹo) thuộc OU (Con Giáp) như trong hình bên dưới. Bạn cũng cần cấu hình sẵn các chính sách nhóm tác động trên OU ConGiap, trong đó có thiết lập chính sách cấm người dùng thuộc OU ConGiap truy cập chương trình Control Panel.

 

CÁC BƯỚC THIẾT LẬP SECURITY FILTERING CHO GPO

Tại máy Domain Controller, đăng nhập bằng Administrator, mở công cụ Group Policy Management, chọn vào tên GPO cần áp dụng lọc bảo mật, chọn tiếp tab Scope. Sau đó ở mục Security Filtering chọn nút Add như hình bên dưới

Cửa sổ mới xuất hiện. Thêm tài khoản Mèo vào danh sách như hình bên dưới. OK

Trở về cửa sổ trước, chọn tab Delegation, sau đó chọn vào tài khoản đã thêm, rồi nhấn nút Advanced như hình bên dưới

Cửa sổ thiết lập lọc bảo mật cho GPO xuất hiện, chọn tài khoản cần lọc. Chọn vào ô vuông ở cột Deny tương ứng với quyền ‘Apply group policy’ như hình bên dưới

Cửa sổ thông báo ‘Windows Security’ xuất hiện, chọn Yes

Trở về cửa sổ quản lý GPO, kiểm tra lại thông tin thiết lập

Mở công cụ Command Prompt, nhập lệnh GPUPDATE /FORCE để cập nhật cho các thiết lập như hình bên dưới

 

KIỂM TRA KẾT QUẢ

Tại máy Windows 10, đăng nhập bằng tài khoản Meo. Sau đó truy cập vào chương trình Control Panel thì thấy tài khoản Meo chạy Control Panel bình thường như hình bên dưới

Đăng nhập bằng một tài khoản khác thuộc cùng OU với tài khoản Meo, như hình bên dưới là tài khoản Suu

Truy cập Control Panel

Thấy thông báo cấm truy cập, do tài khoản Suu chịu tác động của chính sách cấm Control Panel.

 

Như vậy bạn đã hoàn thành bài học rồi nhé.

Hẹn gặp lại các bạn ở các bài tiếp theo.

Chúc các bạn học tập chăm chỉ!

0 0 votes
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments