Bài 7:
Quản trị người dùng thông qua
chính sách nhóm
Bài 7:
Quản trị người dùng thông qua
chính sách nhóm
Nội dung bài học trước
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
2
Mục tiêu bài học
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Cấu hình các thiết lập Group Policy

5
Folder Redirection là gì?
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Các thư mục có thể chuyển hướng (Folder redirection):
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu
Các thư mục phụ có thể chuyển hướng
trong Windows Vista:
• Contacts
• Downloads
• Favorites
• Searches
• Links
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
6
Folder Redirection
Accounting

Security group of
users that
put data on share
Local System
Creator/Owner
• None
• List Folder/Read Data, Create Folders/Append Data - This Folder
Only
• Full control
NTFS permissions for root folder
Share permissions for root folder
Full control - subfolders and files only
Creator/Owner
Security group of
users that
put data on share
• Full control
%Username%
• Full control, owner of folder
• None
• Full Control
NTFS permissions for each users’ redirected folder
Administrators
Local system
Full control - subfolders and files only
Creator/Owner
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
8
Administrative Templates là gì?
Administrative Templates

• Applications
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
9
Chỉnh sửa Administrative Templates
ADMX files:
• Có khả năng mở rộng
• Có thể chỉnh sửa bằng nhiều trình soạn thảo
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
10
Chuẩn bị
11
Tùy chọn cho triển khai và quản lý
phần mềm sử dụng Group Policy
Triển khai
1.0
22
Duy trì
2.0
33
Gỡ bỏ
44
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
11
Software Distribution làm việc như thế
nào?
Windows Installer

Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Lợi ích khi
sử dụng
Windows
Installer
Tùy chỉnh khi
cài đặt
Khả năng phục hồi
các ứng dụng
Gỡ bỏ hoàn toàn
Tùy chỉnh khi
cài đặt
Khả năng phục hồi

Gán phần mềm trong khi
cấu hình người dùng
Gán phần mềm trong khi
cấu hình người dùng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
13
Tùy chọn cho chỉnh sửa Software
Distribution
Các tùy chọn:
Phần mềm có thể được phân loại trong Add Programs

Phần mềm triển khai có thể được tùy chỉnh bằng cách sử dụng
file MST

Phần mở rộng có thể được liên kết với các ứng dụng cụ thể

Công bố các gói:
Ấn định các gói:
Advertised trong Active Directory có sẵn cho người dùng để cài đặt bằng Add or
Remove Programs trong Control Panel

Ứng dụng được cài đặt tự động và sẽ được tự động cài đặt lại nếu bị gỡ bỏ

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
14
Duy trì phần mềm đã được cài đặt bằng
Group Policy
Bắt buộc nâng cấp
Người dùng chỉ có
thể sử dụng

thiết lập bên trong một GPO
Không được thực thi

Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
16
Sự khác nhau giữa Group Policy
Settings và Preferences
Group Policy settings Group Policy preferences
Thực thi các thiết lập chính sách
bằng cách viết các thiết lập cho các
khu vực của registry mà người
dùng không thể sửa đổi
Được ghi vào vị trí bình thường trong
registry mà các ứng dụng hoặc tính
năng hệ điều hành sử dụng để lưu trữ
các thiết lập
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
17
Vô hiệu hóa giao diện người dùng
cho các thiết lập Group Policy được
quản lý
Không gây ra các ứng dụng hoặc hệ
điều hành để vô hiệu hóa giao diện

Các kịch bản yêu cầu khi khắc phục sự cố
Chính sách được áp dụng, nhưng các thiết lập không phù hợp

Không áp đặt các chính sách

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
20
Chuẩn bị cho việc khắc phục sự cố
Group Policy
Các bước khắc phục sự cố đơn giản:
Đảm bảo rằng DNS đang hoạt động bằng cách sử dụng nslookup
Thực hiện các kiểm tra cơ bản để kiểm tra kết nối mạng: sử dụng các
công cụ như netdiag hoặc ping


Kiểm tra Event Viewer
Kiểm tra domain controller đang hoạt động và có thể truy cập: Sử dụng
lệnh dcdiag hoặc công cụ Kerbtray
Use Group Policy Results để biết rằng các chính sách đang được áp dụng



Bài 7 - Quản trị người dùng thông qua chính sách nhóm
21
Các công cụ để khắc phục sự cố
Group Policy
Một số công cụ để khắc phục sự cố Group
Policy:
 Group Policy reporting – RSoP
 GPResult

23
Khắc phục sự cố khi lọc Group Policy
Production
Domain
GPO
WMI
filter
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy
tính trong OU.
Sales
Mengph
Kimyo
Group
Apply
Group Policy
Apply
Group Policy
Deny
Read and
Apply
Group Policy
Read and
Apply
Group Policy
Allow
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy

GPTGPT
GPCGPC
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
25