TẠO CHÍNH SÁCH NHÓM TRÊN WINDOWS SERVER 2019

TẠO CHÍNH SÁCH NHÓM TRÊN WINDOWS SERVER 2019

Chính sách nhóm (Group Policy) là một tính năng của họ hệ điều hành Microsoft Windows NT (bao gồm Windows 7, Windows 8.1, Windows 10 và Windows Server 2003/2008/2012/2016/2019) nhằm kiểm soát môi trường làm việc của tài khoản người dùng và tài khoản máy tính. Chính sách nhóm cung cấp quản lý tập trung và cấu hình hệ điều hành, ứng dụng và cài đặt của người dùng trong môi trường Active Directory.
Đối tượng chính sách nhóm (GPO – Group Policy Objects) là một tập hợp ảo các cài đặt chính sách. GPO có một tên duy nhất. Cài đặt chính sách nhóm được chứa trong GPO. GPO có thể đại diện cho các cài đặt chính sách trong hệ thống tập tin và trong Active Directory.

Trong bài này, các bạn sẽ được học cách tạo và sử dụng các GPO để áp dụng chúng trên tài khoản người dùng theo những mục đích cụ thể được đưa ra trong bài.

Mô hình thực hiện bao gồm 2 máy ảo:

  1. Một máy ảo chạy HĐH Windows Server 2019 đã nâng cấp thành máy Domain Controller, với các thông tin:
     Computer name: MiniLessons_Server2019
     IP Address: 192.168.1.1
  2. Một máy ảo chạy HĐH Windows 10 đã gia nhập miền
     Computer name: Win10PTK
     IP Address: 192.168.1.10

Bạn cần tạo sẵn một vài tài khoản người dùng thuộc một OU mà bạn cũng tạo sẵn để triển khai chính sách nhóm trên đó. Bài này minh họa 4 tài khoản người dùng (Tý, Sửu, Dần, Mẹo) thuộc OU (Con Giáp) như trong hình bên dưới.

 

TẠO GPO

Tại máy DC, đăng nhập bằng administrator, mở công cụ Server Manager, tiếp sau đó chọn menu Tools > Group Policy Management như hình bên dưới

Trên cửa sổ Group Policy Management, phải chuột lên Group Policy Objects, chọn New như hình dưới

Cửa sổ New GPO xuất hiện, tiến hành đặt tên cho GPO tại khung Name, sau đó OK, như vậy bạn đã tạo xong 1 GPO. Nhưng lúc này GPO chưa có 1 chính sách nhóm nào thuộc về nó cả.

 

THIẾT LẬP CÁC CHÍNH SÁCH NHÓM CHO GPO

Đê thêm các chính sách nhóm cho GPO, phải chuột lên GPO đã tạo, chọn Edit như hình bên dưới

Cửa sổ Group Policy Management Editor xuất hiện, đây là nơi chứa tất cả các chính sách nhóm trên hệ điều hành Windows, số lượng chính sách nhiều ít khác nhau tùy theo phiên bản HĐH. Các chính sách được chia thành 2 nhánh: Computer Configuration chứa các chính sách nhóm có tác động lên máy tính cần thiết lập, User Configuration chứa các chính sách nhóm tác động lên tài khoản người dùng cần thiết lập. Tùy theo mục đích quản trị người dùng và máy tính của bạn, bạn sẽ có quyết định lựa chọn chính sách nhóm phù hợp để áp dụng trên đối tượng mà bạn mong muốn. Phần tiếp sau sẽ thiết lập một số số chính sách mẫu giúp bạn hiểu rõ hơn về việc thực thi của chính sách nhóm.

 

1. CHÍNH SÁCH ẨN CÁC BIỂU TƯỢNG CHƯƠNG TRÌNH TRÊN DESKTOP

Từ cửa sổ Group Policy Management Editor của GPO mà bạn đã tạo ở trên, chọn nhánh User Configuration > Policies > Administrative Template > Desktop như hình bên dưới. Tiếp sau đó phải chuột lên chính sách “Hide and disable all items on the desktop”, chọn Edit

Cửa sổ thiết lập chính sách xuất hiện, chọn vào “Enable”, rồi OK như hình bên dưới

Như vậy bạn đã thêm và kích hoạt xong 1 chính sách vào GPO tương ứng.

 

2. CHÍNH SÁCH CẤM TRUY CẬP CONTROL PANEL

Tiếp tục chọn vào mục Control như hình bên dưới. Trong danh sách các chính sách bên khung phải, phải chuột lên chính sách “Prohibit access to Control Panel and PC settings”, chọn Edit

Cửa sổ thiết lập chính sách xuất hiện, chọn vào “Enable”, rồi OK như hình bên dưới

Như vậy bạn lại thêm và kích hoạt xong 1 chính sách nữa vào GPO tương ứng.

 

3. CHÍNH SÁCH THÊM TRẠNG THÁI LOGOFF CỦA TÀI KHOẢN VÀO START MENU

Thực hiện thao tác tương tự như 2 chính sách bên trên, phải chuột lên chính sách “Add logoff to the Start Menu”, chọn Edit như hình bên dưới

Cửa sổ thiết lập chính sách xuất hiện, chọn vào “Enable”, rồi OK như hình bên dưới

Bạn lại hoàn thành đưa chính sách thứ 3 vào GPO tương ứng.

Khi đã thêm và kích hoạt đầy đủ các chính sách mong muốn của bạn, việc bạn phải làm tiếp theo ngay sau đó là mở công cụ Command Prompt và nhập lệnh GPUPDATE /FORCE như hình bên dưới để cập nhật các chính sách cho GPO. Bạn chờ cập nhật thành công.

 

LIÊN KẾT GPO VỚI OU

Khi đã có GPO với các chính sách bên trong, bạn muốn áp dụng các chính sách nhóm đó trên OU (chứa các tài khoản người dùng) thì thao tác cần làm là liên kêt GPO với OU mong muốn.

Trên cửa sổ Group Policy Management, phải chuột lên OU “ConGiap” đã tạo, chọn “Link an Existing GPO …” như hình bên dưới

Cửa sổ Select GPO xuất hiện, bạn chọn vào tên GPO bạn đã tạo trước đó, sau đó OK như hình bên dưới

Trở về cửa sổ Group Policy Management, kiểm tra trong OU “ConGiap” đã có chính sách mong muốn được liên kết như hình bên dưới

 

KIỂM TRA KẾT QUẢ

Tại máy Windows 10 còn lại trong mô hình thực hành, đăng nhập bằng 1 trong các tài khoản thuộc OU đã thiết lập chính sách nhóm ở trên (trong hình dưới đăng nhập bằng tài khoản Mèo)

Kiểm tra truy cập vào Control Panel như hình bên dưới

Thấy thông báo bị hạn chế truy cập như hình bên dưới. Điều này xảy ra là do tài khoản Mèo thuộc OU “ConGiap” đã được thực thi chính sách cấm truy cập chương trình Control Panel như đã thiết lập ở trên

Đăng nhập bằng 1 tài khoản khác không thuộc OU “ConGiap”. Hình bên dưới là đăng nhập bằng tài khoản “Nguyen Thanh Tuan” đã tạo ở bài học trước. Kết quả là tài khoản này vẫn truy cập được Control Panel.

 

Như vậy bạn đã hoàn thành bài học rồi nhé.

Hẹn gặp lại các bạn ở các bài tiếp theo.

Chúc các bạn học tập chăm chỉ!

0 0 votes
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments