thinhle@tlnet.com.vn

Group Policy

Khái niệm

Thí dụ: Người quản trị mạng muốn quản lý người dùng một số thông tin sau:

Các chương trình giành cho người sử dụng dùng.
Các chương trình xuất hiện trên màn hình nền của người dùng.
Hay đưa ra một số hạn chế buộc người dùng phải tuân theo.

Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy.

Group Policy là một nhóm các Policy chứ không phải là nhóm Policy. Các Group Policy được chứa trong GPO (Group Policy Object)

Thí dụ: GPO Default Domain Policy liên kết với Domain.

Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng trên Site, Domain, OU đó.

Một số vấn đề an toàn mạng thông qua Group Policy

Phát hành (Publish), phân phát (Assign) các phần mềm tới người dùng, tới máy tính.
Cài đặt các Scripts: Logon, Logoff: Startup, Shutdown Scripts.
Định nghĩa mật khẩu, khóa tài khoản (LockOut) và các vấn đề kiểm toán các hiện tượng (Audit) trên Domain.
Chuẩn hóa vấn đề an toàn mạng cho các máy (Registry).
Cài đặt các quy định bắt buộc đối với Internet Explorer.
Định nghĩa những hạn chế bắt buộc đối với màn hình làm việc của người dùng..
Định lại một số thư mục về vị trí trên mạng (Document and setting folder).
Định hình và chuẩn hóa một số khả năng mới Offline folder, Disk quorta.
Quản lý các Group Policy.

Thời gian và cách thức áp dụng Policy

Các Policy liên quan tới người dùng sẽ được áp dụng tới khi người dùng đăng nhập.

Các Policy liên quan tới máy tính sẽ được áp dụng khi máy khởi động hệ điều hành.

Chỉ có người dùng, máy tính là có Policy áp dụng tới Security Group không có Policy. Người ta chỉ dùng Security Group để thanh lọc bớt các Policy áp dụng tới người dùng, máy tính.

Thứ tự áp dụng: các Policy áp dụng tới tất cả người dùng trên máy Local Site sau đó tới Domain, OU và OU trong OU.

Đặc điểm của các Policy

Các Policy áp dụng sau sẽ áp dụng đè lên áp dụng trước.

Thí dụ: Ở mức độ Domain một Policy buộc người dùng phải đăng nhập mạng rồi mới Shutdown. Ở mức độ OU một Policy cho phép Shutdown trước khi đăng nhập.

Mang tính kế thừa và tích lũy.

Thí dụ: Ở mức độ Domain cài đặt các Policy

Password Restrition hạn chế Password.
Account LockOut khóa Account tới một số trường hợp.
Chuẩn hóa an toàn mạng.

Ở mức độ OU cài đặt các Policy

Phát hành ứng dụng.
Hạn chế màn hình nền của người dùng

Vậy người dùng trong OU được hưởng Policy ở cả hai mức.

Cho phép ngăn chận sự thừa kế thực thi các Policy từ phía trên (Block Inheritance).

Bắt buộc cấp dưới chấp hành các Policy (No Override).

Các chu kỳ áp dụng của Policy: chu kỳ áp dụng Policy tới người dùng là 90 giây, chu kỳ làm tươi trên Domain Controll là 5 giây.

Điểm trọng tâm trong Group Policy SNAP-IN

Có hai điểm chính (Node) trong Group Policy trong SNAP-IN:

User Configuration.
Computer Configuration.

Trong từng điểm đều có ba điểm phụ giống nhau

Software Setting.
Windows Setting.
Administrative Template

Tuy nhiên có sự khác nhau giữa hai điểm chính trên

Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho User.
Và các Policy trong Computer Configuration sẽ áp dụng tới máy tính.

Khởi tạo các Policy

Kiểu đặt Policy Software Setting

Trong Software Setting có điểm phụ. Software Installation cho phép cài đặt Software tới User dưới hai điểm: Publishing và Assigning.

Publishing: phát hành phần mềm tạo sẵn cho người dùng tùy chọn có cài đặt về máy mình hay không, bằng công cụ Add/Remove Program trên Control Panel.
Assigning: cấp phát phần mềm tới người dùng. Khi người dùng đăng nhập mạng, mạng tự động cài đặt một số thông tin vừa đủ về phần mềm và tạo lối tắt trên trình đơn bắt đầu. Khi người dùng mở ứng dụng chương trình sẽ tiếp tục cài đặt đầy đủ.

Cài đặt Policy Software Setting

Dịch vụ Windows Installer

Windows Installer

Windows Installer là một thành phần của Windows 2000 Server giúp đơn giản hóa và quản lý việc cài đặt các ứng dụng vào máy. Những khả năng của Microsoft Windows Installer:

Trả lại trạng thái lúc khởi động cài đặt khi quá trình cài đặt ứng dụng bị thất bại.
Ngăn chận sự tranh chấp tài nguyên của các ứng dụng được cài đặt. Thí dụ một ứng dụng khi cài đặt cập nhật tệp tin *.dll tới phần *.dll của một ứng dụng khác đang sử dụng, hay khi gỡ bỏ một ứng dụng có sử dụng chung *.dll với các ứng dụng khác.
Làmột dịch vụ đáng tin cậy trong việc gỡ bỏ các ứng dụng ra khỏi hệ thống. Nó gỡ bỏ tất cả các tệp tin liên quan tới ứng dụng, ngoại trừ các tệp tin dùng chung với các ứng dụng khác.
Chẩn đoán, sửa chữa những ứng dụng bị hư hỏng.
Khả năng cài đặt theo yêu cầu (On-Demand Installation).
Khi cài đặt một ứng dụng, Windows Installer chỉ cài đặt một số chức năng thường dùng vào máy. Các chức năng khác chỉ có tên chứ không chứa nội dung. Khi người dùng cần đến những chức năng đó, Windows Installer sẽ cài đặt thêm.
Khả năng tự động cài đặt không cần thao tác của người dùng.

Windows Installer bao gồm các phần:

Install Service: là dịch vụ kiểm soát quá trình cài đặt
Trình Installer msiexec.exe sử dụng msi.dll để đọc tệp tin gói *.msi, *.mst và các lệnh liên quan đến việc cài đặt.
Tệp tin gói *.msi chứa một cơ sở dữ liệu tương đối kưu các lệnh và dữ liệu cần thiết cho việc cài đặt.
Một ứng dụng đáp ứng được yêu cầu của Windows Installer là ứng dụng có tạo tệp tin *.msi. Thí dụ: Microsoft Office 2000.

Đối với một số phần mềm không có tệp tin *.msi thì dùng các trình sau để tạo tệp tin *.msi cho phần mềm đó:

VERITAS Software Console.
WININSTALL Discovery.

Các bước cài đặt Policy trong Software Setting

Thí dụ cài đặt Microsoft Offiice 2000 tới các trạm.

Cài đặt Microsoft Office 2000/Node Adimin tới phần Share của mạng: C:\Setup/A D:\data1.msi.
Tạo GPO để thực hiện cài đặt phần mềm.
Gán tệp tin *.msi của phần mềm vào GPO.

Phát hành một ứng dụng bằng cách khởi tạo tệp tin *.zap

Tệp tin mẫu

[application] FriendlyName = "WinZip Version 8.0" SetupCommand = \\sunlight\softwares\winzip8\winzip8.exe DisplayVersion = 8.0 [ext] Zip =

Windows Setting

Scripts
Có bốn loại Scripts trong Policy.

Đối với máy tính: có Startup và Shutdown Scripts.

Đối với người dùng: có Logon và Logoff Scripts.

Ngoài ra có thể tạo riêng Login Scripts trên trang đặc tính của tài khoản người dùng. Scripts này được gọi là Legacy Logon Scripts.

Đối với Client Windows 2000 nên sử dụng các Scripts của Froup Policy.

Đối với Windows 95/98 không thể sử dụng Group Policy nên vẫn dùng Legacy Logon Scripts.

So sánh Group Policy Scripts với Legacy Logon Scripts.

Group Policy Scripts có thể chạy theo kiểu Asynchnous và trong Hidden. Hệ thống không cần đợi chấm dứt chương trình Scripts mới thực hiện chương trình khác.

Group Policy cũng có thêm chức năng Synchronous và Visibler để tương hợp với Legacy Logon Scripts.

Ngôn ngữ Scripting:
- DOS/NT/Win2K shell commands
- Windows script host (WSH) Web: msdn.microsoft.com/scripting/winodwshost
- Kixtart
- XLNT
- Perl Web (http://www.demobuilder.com http://www.activestate.com/activeperl )
- VB Script
- J Script
- Even python
Cấp phát các tệp tin Scripts

Các tệp tin Scripts và các tệp tin khác liên quan đến Scripts được đặt ở thư mục C:\WinNT\SYSVOL\Sysvol\domain name\script.

Client Pre Windows 2000 sẽ tuy xuất tệp tin Scripts qua thư mục Share có tên Net Logon.

Client Windows 2000 qua phần Share SYSVOL.
Folder Redirection
Folder Redirection định vị trí lưu thông tin của một số thư mục thông dụng trên Windows. Thay vì phải tổ chức lại máy tính cục bộ, các thư mục đó được định lại ở thư mục trên mạng.

Có bốn thư mục được định vị lại:
- Application Data: cách tổ chức Internet Explorer.
- Desktop.
- My Documents.
- Start Menu.
Folder Redirection giúp người dùng dễ dàng lấy số liệu mà không lệ thuộc vào máy tính. Tổ chức định hình màn hình làm việc cho người dùng theo một chuẩn dễ dàng quản lý.
Security Setting
Khi cài đặt, Windows 2000 Server tạo sẵn một số cài đặt mặc định vừa đủ để bảo đảm an toàn cho hệ mạng, giảm bớt công tác quản trị của người quản trị mạng. Nếu càng tăng khả năng an toàn thì khá thuận tiện cho người dùng càng bị hạn chế.

Security Templates:
- Security Setting Template được cài đặt cùng với Windows 2000 Server là những mô hình mẫu về Security Setting.
- Những mô hình mẫu này được viết dưới dạng tệp tin *.inf và được lưu ở thư mục C:\WinNT\Security\templates.
- Bạn có thể cập nhật các mô hình này vào Group Policy tùy theo cấp độ an toàn mà chọn tệp tin *.inf.
- Basic Workstation.
- Basic Server.
- highly Secure.
- ...
Cách cập nhật (Import):
- Mở Group Policy, chọn Computer configuration\Windows setting\Security setting. Nháy phải chuột lên Security setting, chọn Import. Chọn tệp tin tương ứng để Import.
- Thí dụ: Security setting có khả năng buộc người dùng phải
  - Nhập mật khẩu tối thiểu 8 ký tự trở lên.
  - Không cho người dùng cài đặt thêm ứng dụng.
  - Không thay đổi được chế độ màn hình.
Các chức năng trong Security Setting
- Account Policies
  Mật khẩu Policies bao gồm các option sau:
  - Enforce Password History: số mật khẩu cần thay đổi, khi muốn sử dụng lại mật khẩu.
  - Maximum Password Age: thời gian tối thiểu mật khẩu được sử dụng trước khi người dùng được phép thay đổi.
  - Password Must Meet The Complexity Requiment of Install Program Filter: bắt buộc tạo độ phức tạp của mật khẩu (như kết hợp giữa số với ký tự) và lọc các ký tự được phép.
  - Store Password Using Rever Sible Enryption: Client Windows 95/98 cần xác nhận đăng nhập với mật khẩu hóa cấp thấp.
  - User Must Logon to Change Password: ngăn chận người dùng có tài khoản hết hiệu lực thay đổi mật khẩu để sử dụng, hoặc kẻ lạ mặt thay đổi mật khẩu trên cửa sổ Windows.
  - Account Lockout Policy.
  - Account Lockout threshold: số lần thử Login trước khi tài khoản bị khóa.
  - Reset Account Lockout Counter After: thời gian đợi để xóa bỏ các lần thử sai.
  - Account Lockout Duration: thời gian tài khoản bị khóa, sau thời gian này, người dùng có thể thử Login trở lại.
- Local Policies
  - Audit, Policy: cho phép ghi nhận lại các sự kiện Login vào mạng (thử thành công, thử sai hoặc cả hai).
  - User Right Assignment: cấp quyền cho người dùng hay nhóm Login vào mạng.
  - Security Option: cho phép tạo độ an toàn cho máy tính.
  - Cho phép truy xuất đĩa mềm, CD.
  - Install Drive.
- Event log: định các lựa chọn đề nghị nhận sự cố trên máy.
- Restricted group: bắt buộc kiểm soát thành viên của một số nhóm, chẳng hạn nhóm Administrator.
- System Service: cho phép chuẩn hóa các dịch vụ trên mạng , bảo vệ không cho thay đổi các dịch vụ.
- Registry: khởi tạo các Permission về Registry key để kiểm soát việc thay đổi các key và truy xuất các phần của Registry.
- File System: khởi tạo Security cho sự cấp phép truy nhập tệp tin và thư mục.
- Public Key Policies: quản lý việc cài đặt và tổ chức Public Key Infrastructure.

Administrative Template

Chứa các thông tin về key của bảng Registry

Tương tự System Policy ở Windows 95/98/NT dùng để thay đổi dáng vẻ môi trường làm việc của người dùng vào cấu hình máy. User Configuration được lưu vào HKEY_CURRENT_USER. Computer Configuration được lưu vào HKEY_LOCAL_MACHINE.

Tuy nhiên, với Administrative Template dễ thao tác hơn so với trình regedit.exe.

Windows Components
- Tháo gỡ tùy chỉnh thư mục trên thực đơn công cụ trên bảng điều khiển (Control Panel), không cho phép người dùng có thể thay đổi thông số để xem tệp tin ẩn hay một số thông số của Active Desktop, Webview offline file, ....
- Ngăn cản không cho người dùng nối, truy nhập tới máy khác cũng như đóng sự kết nối mà người quản trị cài đặt.
- Hạn chế không cho đọc nội dung ổ đĩa đã chọn từ My Computer.
- Chuyển tất cả các các Profile của người dùng ra khỏi thực đơn chương trình.
- Vô hiệu hóa các chương trình trên thực đơn xác lập, chẳng hạn như Control Panel, Printer, Network Dial-Up Connection.
- Bỏ thực đơn chạy từ thực đơn bắt đầu.
- Ngăn cản không cho người dùng mở hộp thoại Taskbar & Start menu.
Nói chung, mọi vấn đề liên quan tới thực đơn bắt đầu đều có thể kiểm soát được.
Control Panel
- Ngăn cản người dùng cài đặt thêm chương trình.
- Thay đổi chế độ màn hình.
- Đặt mật khẩu chế độ bảo vệ màn hình.
- Một số lệnh liên quan đến máy in: không cho thêm/gỡ bỏ máy in, ....
System
- Quản lý các Group Policy.
- Chỉ cho phép sử dụng một số chương trình được chỉ định.
- Không cho phép sử dụng một số chương trình không được chỉ định.

Sàng lọc đối tượng áp dụng Policy

Cho phép chọn người dùng, nhóm áp dụng hay không áp dụng Policy. Các bước thực hiện áp dụng Policy liên kết với Domain hoặc OU:

Khởi động Active Directory User and Computers.
Nháy phải chuột lên tên Domain hay tên OU.
Chọn Properties.
Chọn Group Policy.
Chọn Group policy Object Link muốn áp dụng.
Chọn Properties.
Tùy chọn người dùng, nhóm có áp dụng Policy hay không.

Quản lý các Policy

Bao gồm các Option sau:

Group Policy Refresh Intervals for User/Computer/Domain Controller. Định thời gian để các Policy được làm tươi ở nền trong khi người dùng hay máy tính đang làm việc.
Disable background Refresh: chỉ cho phép làm tươi các Policy khi máy khởi động hay người dùng Login, để tránh quá tải trên mạng.
Apply Group Policy for User/Computer Synchronously During Startup: cho phép cập nhật các Group Policy trong khi người dùng đang Login và các Policy đang sửa chữa.
Allows Processing Across a Slow Network Connection: Cập nhật Group Policy qua mạng điện thoại.
Do not Apply During Periodie Background Peocessing: không cho cập nhật Group Policy dưới nền trong khi máy đang dùng để tránh xung đột làm treo máy.
Process Event if The Group Policy Object Haver Not Change: vẫn làm tươi các Group Policy ngay cả những lúc chúng không có thay đổi.
User Group Policy Loopback Processing Mode: Bình thường Computer Policy được áp dụng trước khi máy khởi động, sau đó là User Policy. Nếu gặp tranh chấp thì ưu tiên cho User Policy và người dùng nhận được User Policy mà bất chấp máy tính đang sử dụng. cũng có những trường hợp cần ưu tiên để thực hiện Computer Policy hơn là User Policy. Các kiểu ưu tiên:
- Merge Mode: xử lý user Policy trước rồi tới Computer Policy.
- Replace Mode: chỉ xử lý Computer Policy, bỏ qua User Policy.

Vai trò của System Policy Editor

Trên hệ thống Windows 2000 Server, Group Policy đã thay thế phần lớn các công việc của System Policy. Tuy nhiên, System Policy Editor vẫn được sử dụng trong một số trường hợp sau:

Quản lý các máy chạy Windows 95/98/NT4
Quản lý các máy chạy Windows 2000 Server ở chế độ Stand-Alone (thông qua Local Group Policy).

Thông qua System Policy Editor, bạn có thể chỉ định cấu hình cho:

Default User: đặt thông số mặc định cho người dùng đăng nhập mạng Windows NT.
User: đặt thông số có một người dùng định trước.
Group: đặt thông số cho một nhóm.
Default Computer: đặt thông số cho máy chạy Windows NT4/2000.
Computer: cho phép tạo System Policy cho máy.