Bài 07: MCSA 2012 – OU – Group policy object – GPO (phần 2)

Tự học MCSA

15 Tháng Năm, 2020 vũ i tờ MCSA 0

Ở phần một bài “MCSA 2012 – OU – GPO – Delegate: quản trị tài nguyên trên window server”. Chúng ta đã biết OU là gì, và cách Delegate quyền cho 1 user quản lý một OU là như thế nào.

Phần tiếp theo này chúng ta sẽ biết về Group policy object (GPO). Đây là nhóm đối tượng chịu sự áp dụng các bộ policy trong hệ thống.

Trước khi bắt đầu bài học này, Hãy cùng Vũ i tờ’s Blog ôn lại các bài học trước để củng cố kiến thức nhé:

Bây giờ, bạn hãy cùng với Vũ i Tờ 's blog tìm hiểu nội dung trong bài viết nhé!

Group policy object – GPO

Áp đặt policy cho từng OU

Cấp quyền cho user tạo policy

bài trước chúng ta đã tạo mô hình OU như sau:

  • Dom9
    • Users (group)
    • Phòng KD (OU) → áp đặt policy. Vd: cấm xài notepad
      • U1 (it KD)
      • u2
    • Phòng KT (OU)
      • U3 
      • U4 (it KT)
    • HCM
      • Q1
      • Q2
    • HN (OU)
      • BD
      • HK
GPO 01

Ở bài này chúng ta sẽ bắt đầu gán Policy cho từng OU

  • Start run → dsa.msc → group policy creator owner properties → add user vào: user thuộc group nào được phép tạo policy cho OU
    • CN = container không tạo được policy

Trên máy client cài sẵn công cụ quản trị server từ xa RSAT .

vào window, run, gõ gpedit.msc

GPO 02

chọn hcm, “create a gpo in….”

GPO 03

Đặt tên cho GPO mới

GPO 04

Bạn sẽ nhận được thông báo, client không có quyền tạo GPO vì ko được cấp quyền.

GPO 05

Cấp quyền tạo Group policy object – GPO

Mở RSAT lên

rE8XB2Y4FVx0H02YMdQruxvkME8m6 iycoVyYNDAEvlnCFgq7S 1hOoldfcleWojQSjBkfA3Db WJmGOut1ERlwjfEX 8ji0vVFy HMoAMesAn4jnvAQGm

Tìm nhóm Group policy creator owners trong OU users

Phải chuột chọn property

eaFBROAbCd7BkOWKHu1hsnj Iq9L2piAWWPPuWD2GqkmOIttrXaybudsdxf8 pmatZ05iki4aACNp8UiXGorkDsMrbeoVFrtwjPu3jEZkcC7qlN57PPAcPc9DS8YuybUqS65J35Q

Hiện tại chỉ có administrator mới có quyền tạo GPO cho OU

OCaSGRlNHtMjf6uI3ZRIc97wPAqy8DnftGaxn rQ65lpvcbnczBL7a8dDJ33JMZud9l7ezQmbj4ZWPUhFUxs5zFZSi2xcgVMBhy4Yfa 0zMEGcSglFW8CHJwj0Jk09Yn0AM5o P

Add 2 user ithcm ithn vào group

4tSDdpMoKZU MAQhpaYaDnEIhApyJvLo2gLpuaYL8JCIAOUIVT9delC6dhnFMeuTxiNJ9p6M5ZTawa 2ivBF1z5TmtGQQh51SwECykY4OjmZaX3c1R9Y0YZ3ZaboYZAGbims1fHU
F44 mD1hMwYTPWYCbm9P2IHPSKGRFdQF2ZmoJjF7Yn3CLtK9YC33pdWFUD5 3S8Cap0M d7 BVW4yIghZkmA

Bây giờ quay chở lại Group Policy Manager tạo lại mới GPO cho OU hcm

GPO 03
GPO 04

Ok, giờ thì bạn đã tạo được rồi đó.

GPO 06

Double click vào tên policy (hcm) để bắt đầu cáu hình policy

GPO 07

Ví dụ group policy thường sử dụng trong quản trị AD

Cám sử dụng ứng dụng trên OU là policy được sử dụng thường xuyên nhất trong doanh nghiệp, mục đích là để quản lý người dùng, không cho sử dụng những phần mềm không được phép hoặc game làm sao nhãng công việc

  • Start run → gpmc.msc → dom9 → OU name → right click: create a GPO in this domain, and link
    • OU: tạo policy được 
    • CN: không tạo policy được
  • Chú ý: user sẽ bị ảnh hưởng policy từ cấp gần nhất. VD:
    • Dom9 → cấm calc.exe
      • Hcm → cấm notepad.exe
        • ITHCM user → sẽ bị cấm notepad.exe và calc.exe

Vào window, run, gõ gpmc.msc

nQ3goXLN 3Hl52osDedIkkQHBEWbMYkpSqqMfiBJYZansYLPe6Jn94ll bHoDbJOinC rIZtww77q2AosgwfhDZkJxOx1pkHwfpzaOYGYY8Y6 OoSPWXy1Uozd5MRd1vV32CgFK2

double click vào default domian policy

PrE7ZWYkaDVyBBNjlqUb6W4vSH2k 8jW6a6e 6ZvA7QY80GGYY9KC94ROLbROZ14QwMXMkARomnX GPDWvlYkiUpfbYPi4jnh34q0pU9c4kPmyBbKYBMFK6ZFI9gRrCCweVVOafC

tìm đến policy “don’t run specific windows application”

7CRlL F3ztu7uiqQLTgF52xcd42hHHM3Y6ITrbG8434CKNAlOjUxY2KTpkZuCwaEAqjwt762NgjGkPF3ztu6HSYX09z8JCqabm3sotD9HzQk

chọn enable

hrB3U5LW RKTgJyMxYrh7KdWAJy3wXNPHum8P 5Dum96t2gQd1wgfVZvxomeJqOlbP9Fq2scSkFR48n7e0vUVIDRB0azrY9fR4Em3a5oUq0VdawMDXF0FR QY0VTb9xlckmsH dR

chọn show, nhập calc.exe (đây là tên phần mềm máy tính cần cấm)

00gD8BOWegSgWq4yuUmUQ 5SbFyd3L7wmUGGYN4YbY8f HU bvkVyDdnfEkh w5uF7KjfvkRQ9FKvWBn60GR8pwwLqqpzhSmFECpUnn6ntKvvkwjaIg9u8 2O4596yodcWPHuaHA

Ok 2 lần.

vào Run, nhập gpupdate /force để apply policy mới

AayOU9kgP8eR24T QaQ5 SKjbcdkdgdQU8Oxavf3JJfK7q949kHjhOzw6BZqLj0K2DkjRZws3QR7d1FIrlqVUDD1jP12OsRMvgJ4OLfyJ8YzEa7fTrf1FN6Us5q PoOLkdvn pl8

Thử mở bảng tính lên, sẽ nhận thông báo lỗi sao, nghĩa là bạn đã apply policy mới thành công.

pR1keR1vJMlFq7J VH65OK4xc I83zzVV1 ANIipA87P2n7Thin7upF2F2L4KxFA ED jtXpiv GOM4 iNL o qiOQF4CxgJeNo 4I5uIkD 8a6mgc43TGbPGL4AT4n93GaVn1

Cấm user mởi control panel

làm tương tự như trên, nhưng bạn tìm đến:

  • user configuration
    • policies
      • administration template…
        • control panel
          • prohibit access to controll panel…
5zwO9Kehp6w5tT 2K t4Hnp1Qmhike5ew

chọn enable, xong ok

wpSCvb17Q q8UH42pKg9MIzZODoJCzgUDyuZZW8xE6s8csedis2agOLwKN01trc2H6swMZM5 k0vuzotvoCbhQRZqf4TpYKUgooBQtNONF5BVU vMrEoSewdpbxRwpDGsj enIq

test thử mở control panel lên

QIRjXkMSuvnl w6ErR4HTRZ 4G1NtWozytBVtXd2ezRUPl5CCpdvWfVWgWU 7NvNVjXM vqPxmPFxVyW7qiM xcuxi0qm8LbrKVSC XZc1pTGJr5u0lUmUJlSQEWqr LUtoHEeqB

Bạn sẽ nhận được thông báo ko mở được.

Kv lHid7cpJhrP 8jKQcku9SlHV4BWmN

Một số lưu ý khi tạo Group Policy Oject (GPO)

  • 2 cấp khác nhau có xung đột policy (cùng policy mà set khác nhau) user sẽ apply policy gần nhất
  • 2 cấp khác nhau nhưng 2 policy không xung đột nhau, user sẽ bị áp policy ở cả 2 cấp
  • Một policy có 3 giá trị
    • Not configure
    • Enable
    • Disable
  • Giá trị not configure và disable giống nhau ở local
  • Giá trị not configure và disable khác nhau ở domain 

Khi OU HCM bị block (vùng đặt quyền không bị ảnh hưởng từ trên)

Start run → gpmc.msc → OU name → right click → block inheritance

Enforce policy: 

  • Buộc tất cả OU ở dưới đều phải theo thằng cấp trên và không có vùng block. (thực hiện trên default domain policy). Áp đặt chính sách cao hơn cho cấp thấp hơn bất chấp block policy
tifFcQnwGtt YvdmimWGPRFVb0A1EGx8SjfApb uXhhpoGiO728IrpaIdhY4bk1rUjsD4H mPS7gQEaW TfwIpCAV aQnaNSfwF 1w0AbsCpUkOcVHhR uC OD5UpsGA1SrB5kt2
aNI14B6dNMjtXvGSoqMt87ZuL95xsrxUmbKsHPRY7LDnA lV 8WXldXhVpDNzag8wIREk86YynSed129Lz r37hC 24VQZs08VyMYXYHsSZEcDj6ld4NLF peiM8s5fbsehC0DZv
ZQlUrbeMuwVIIf7pQQWSFzFmyTGsef5EtrmGEk8F2zUtjlLkBSkTw7 fUGuiQzVEQ53OL90MZu4I5KwaStXhd2vsWSUHmCzDFzVW3wY fmZ3cVpNsQsYIKGrQ4c epT2VJYMRrsR
7HKdnfwYqyOmSv i5jGpHJm9bt AZVmphGObhygQBRxJTJNmR0JkJrLDyig gITWxclr03Ealo4NI8AGAlpfa8PPUxP76dZ45ct3Jf22wdjeDzRGRln8RmqaK7AD 0oL942 VTW
90ueAeajCGqtPHT4lYq4AZdVRr13kXCWMmtWqqzXE4Wjc1kZxrdO3YIta z3v3fohE6bIs6NugDcDr
YjWW6QOCeYvY280U409 KsFPztHf1v0255mfRAJBra1DgXY4fIV6X6QtScI1HfDFUKxQSzBTID rZ9
yAlg8Z7u RlR9Pe1 66IjDR13oEqhxbO KwHnTM LuDYUGxTz5vMfaU
zIl0zcouKJWKmtmmmadJYtBs9zXkFjfC4AFbfZIdsCFiOUrLtX6fj1GbCYrLWMGMmbcz7L jSU4dX6tl7fi9s5oBiebrHeFuwp7wOJS4xFMLPvGQ3kWRxkWfIg1MyB1vd1bA

Bỏ áp policy cho user (admin tại vùng): trường hợp muốn admin tại khu vực đó không bị ảnh hưởng bởi policy từ cấp cao

Start run → gpmc.msc → default domain policy → delegation → advance → add user admin → cấp quyền → apply group policy → Deny

Ok, thế là xong phần căn bản, bạn có thể tìm hiểu thêm những GPO khác trong các bài học tiếp theo nhé. hẹn gặp lại các bạn.

LỜI KẾT

[Học vui mỗi ngày – Chuyên mục học MCSA online] là tổng hợp những kiến thức hay từ khóa học MCSA 2012. Đây là chương trình đào tạo quản trị viên hệ thống dựa trên nền tảng Hệ Điều Hành máy chủ mới nhất của Microsoft – Windows Server.. Nếu bạn có thắc mắc hoặc ý kiến đóng ghóp cho bài viết đừng ngại đặt câu hỏi cho Vũ i Tờ ‘s Blog bằng cách để lại comment bên dưới nha. Cám ơn các bạn rất nhiều !!!

Bài cùng chuyên mục:

Quảng cáo đặt ở đây
Tôi là vũ i tờ 84 Articles
Phần lớn kiến thức mà tôi có được đều đến từ Internet. Đây là một nguồn tài nguyên khổng lồ nếu chúng ta biết khai thác. "Vũ i Tờ 's blog" đơn giản chỉ là nơi tôi chia sẻ kiến thức, kinh nghiệm, con người và cuộc sống.

Có thể bạn quan tâm

Bạn sẽ là người bình luận đầu tiên

Để lại bình luận

(Địa chỉ email của bạn sẽ được bảo mật, không hiện ra)


*