Tìm hiểu chính sách nhóm
Contents
DANH MỤC HÌNH VẼ 3
LỜI NÓI ĐẦU 4
Chương I: KHÁI QUÁT CHUNG 5
1.1. Hệ điều hành Windows Server 2003 5
1.2. Nâng cấp thành máy chủ quản trị miền 6
1.3. Các khái niệm cơ bản về Active Directory 14
1.3.1. Phân biệt hai mô hình Workgroup và Domain 14
1.3.2. Dịch vụ thư mục và Active Directory 14
1.3.3. Một số khái niệm liên quan đến Active Directory 14
Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM 16
2.1. Một số khái niệm về chính sách nhóm 16
2.1.1. Chính sách nhóm là gì? 16
2.1.2. Thế nào là đối tượng chính sách nhóm? 16
2.1.3. Phân loại đối tượng chính sách nhóm. 16
2.1.4. Công cụ chỉnh sửa chính sách nhóm 17
2.1.5. Thực thể chính sách nhóm và các thiết lập chính sách 20
2.1.6. Các thiết lập phần mềm (Software settings) 21
2.1.7. Chính sách nhóm trên nền Active Directory 25
2.2. Vòng đời của GPO. 28
2.2.1. GPO được sinh ra như thế nào? 28
2.2.2. GPO tồn tại như thế nào? 28
2.2.3. Sự kết thúc vòng đời của GPO 30
2.3. Các máy trạm nhận GPO như thế nào 30
2.3.1. Client-side Extensions (CSEs) 31
2.3.2. Các thiết lập Administrative Templates được lưu trữ ở đâu? 31
Chương III: QUẢN LÝ CHÍNH SÁCH NHÓM VỚI GPMC 31
3.1. Cài đặt GPMC 32
3.1.1. GPMC là gì? 32
3.1.2. Mục tiêu và thiết kế và sử dụng GPMC 32

Hình 1. 7: Màn hình tên miền xuất hiện 9
Hình 1. 8: Màn hình CSDL và thư mục nhật kí 9
Hình 1. 9: Màn hình chọn đường dẫn ổ đĩa 10
Hình 1. 10: Chọn cài đặt DNS server 10
Hình 1. 11: Chọn chế độ cấp phép 11
Hình 1. 12: Cài đặt mật khẩu Admin 12
Hình 1. 13: Màn hình tổng kết sự lựa chọn cài đặt 12
Hình 1. 14: Bắt đầu cài đặt 12
Hình 1. 15: Kết thúc cài đặt 13
Hình 2. 1: Local Group Policy Object Editor 18
Hình 2. 2: Domain Group Policy Object Editor 19
Hình 2. 3: Domain Controller Group Policy Object Editor 19
Hình 2. 4: Thực thể chính sách nhóm 20
Hình 2. 5: Thiết lập phần mềm 21
Hình 2. 6: Thiết lập Windows 21
Hình 2. 7: Khuôn mẫu quản trị 23
Hình 2. 8: Cấp độ quản lý người dùng và máy tính 27
3
Tìm hiểu chính sách nhóm
LỜI NÓI ĐẦU
Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu
đối với ngành công nghệ thông tin. Hầu như mọi ngành nghề lĩnh vực đều có thể áp
dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơn trong việc
quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra. Các tiện ích do
công nghệ đem lại là không thể phủ nhận và nó không thể tách rời khỏi cuộc sống hiện
tại của toàn thế giới. Tuy vậy, đi đôi với những lợi ích đó là những mối nguy hiểm đến
từ chính môi trường này – môi trường thông tin. Việc số hóa tất cả các tư liệu, tài liệu
có thể đem lạ sự nhẹ nhàng trong lưu trữ, tìm kiếm và xử lý nhưng nó cũng đi kèm với
nguy cơ bị đánh cắp qua mạng. Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy
được những tài liệu tại những nơi có độ bảo mật kém. Việc mất đi những tư liệu then

- Enterprise Edition
- Datacenter Edition
Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp)
Enterprise Edition Cấu hình tối thiểu Cấu hình đề nghị
Tốc độ CPU 133 MHz 733 MHz
RAM 128 MB 256 MB
Khoảng trống đĩa 1,5 GB Càng nhiều càng tốt
Phiên bản này có các tính năng:
- Các loại dịch vụ: Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP,
File và in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft.
- Hỗ trợ: Chuỗi máy chủ, bộ nhớ RAM cắm nóng, quản trị tài nguyên hệ
thống của Windows.
5
Tìm hiểu chính sách nhóm
1.2. Nâng cấp thành máy chủ quản trị miền
- Từ cửa sổ RUN ta gõ vào DCPROMO
Hình 1. 1: Cửa sổ Run
- Trình cài đặt Active Directory xuất hiện, nhấn Next để tiếp tục
Hình 1. 2: Cửa sổ Active Directory
6
Tìm hiểu chính sách nhóm
- Màn hình phân tích độ tương thích giữa các phiên bản xuất hiện, nhấn
Next
Hình 1. 3 : Màn hình tương thích giữa các phiên bản
- Chọn cài đặt máy chủ quản trị miền cho 1 miền mới, nhấn Next
Hình 1. 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới
7
Tìm hiểu chính sách nhóm
- Chọn tạo một miền trong một rừng mới, nhấn Next
Hình 1. 5: Tạo một miền trong một rừng mới

Tìm hiểu chính sách nhóm
- Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành
Hình 1. 15: Kết thúc cài đặt
13
Tìm hiểu chính sách nhóm
1.3. Các khái niệm cơ bản về Active Directory
1.3.1. Phân biệt hai mô hình Workgroup và Domain
Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại, là hệ
thống mạng nội bộ đầu tiên, có khả năng chia sẻ tài nguyên như văn bản, máy in. Đối
với mô hình này, không có máy chủ trung tâm, mỗi máy tính đều là server đối với tài
nguyên của mình. Mô hình này chỉ thích hợp với các mạng rất nhỏ.
Mô hình Domain (miền) là mô hình mạng phỏ biến hiện nay trong các tổ chức,
doanh nghiệp. Trong mỗi một miền sẽ có một máy chủ quản trị miền lưu giữ tất cả
thông tin về mạng. Tất cả các máy tính trong mạng sẽ truy cập đến tài nguyên chung ở
máy chủ này.
1.3.2. Dịch vụ thư mục và Active Directory
Một dịch vụ thư mục (Directory service) là một nguồn tài nguyên số hoá chứa
một danh sách các tài nguyên có thể sử dụng trong một hệ thống mạng dữ liệu. Một
dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng, các người dùng
mạng và cả các thiết bị phần cứng, phần mềm. Các tài nguyên này được lưu trữ tại một
thư mục trung tâm nên mọi người đều có thể sử dụng tại mọi thời điểm.
Active Directory (AD) là một dịch vụ thư mục, nhưng không chỉ giữ vai trò
là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ bao gồm cả các
Transaction Logs (Nhật ký giao dịch) và dữ liệu hệ thống – Sysvol – nơi chứa các
thông tin về kịch bản đăng nhập và chính sách nhóm. Nó là một dịch vụ hỗ trợ và
sử dụng các cơ sở dữ liệu này bao gồm giao thức Lightweight Directory Access
Protocol (Giao thức truy cập thư mục hạng nhẹ), giao thức bảo mật Kerberos, các
chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file. Cuối cùng, AD là một bộ sưu tập
các công cụ mà người quản trị mạng có thể sử dụng để quản lý dịch vụ thư mục.
1.3.3. Một số khái niệm liên quan đến Active Directory

các chương sau. Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chính sách nhóm.
Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thể với chính sách
nhóm, tuy vậy chương này rất quan trọng và nếu không nắm được chúng ta sẽ không
thể đi tiếp các chương sau. Các nội dung chính ở chương này là:
- Các khái niệm về chính sách nhóm.
- Một số VD về chính sách nhóm.
- Một số công cụ dễ gây nhầm lẫn với chính sách nhóm.
2.1. Một số khái niệm về chính sách nhóm
2.1.1. Chính sách nhóm là gì?
Ở chương 1 chúng tôi đã nói khái lược về chính sách nhóm, bây giờ chúng ta sẽ
nói rõ hơn.
Chính sách nhóm (Group Policy): Là một tập hợp các thiết lập cấu hình người
dùng và máy tính, nó chỉ rõ cách các chương trình, tài nguyên mạng và hệ điều hành
làm việc đối với tài khoản người dùng và máy tính trong một tổ chức. Chính sách
nhóm có thể thiết lập cho các máy tính (computer), các site, các miền (domain) hay
các đơn vị tổ chức (OU). Ví dụ: Sử dụng chính sách nhóm bạn có thể cho phép những
chương trình nào người dùng được phép sử dụng, những chương trình nào xuất hiện
trên màn hình desktop hay thanh thực đơn Start của người dùng. Mặc dù có tên gọi là
“Chính sách nhóm” nhưng bản chất các thiết lập chính sách này không phải dành cho
các nhóm mà là áp dụng cho các đối tượng chứa đồng thời tác động lên tất cả các đối
tượng trong các đối tượng chứa.
2.1.2. Thế nào là đối tượng chính sách nhóm?
Đối tượng chính sách nhóm (Group Policy Object - GPO): Là một tập hợp
các thiết lập chính sách nhóm, các GPO chỉ đơn giản là các tư liệu được tạo ra bởi một
công cụ cài đặt chính sách nhóm (Group Policy Object Editor). Các GPO được lưư trữ
ở cấp độ miền và chúng tác động lên tất cả các tài khoản máy tính và người dùng chứa
trong các site, các miền và các đơn vị tổ chức.
2.1.3. Phân loại đối tượng chính sách nhóm.
16
Tìm hiểu chính sách nhóm

Tìm hiểu chính sách nhóm
Công cụ chỉnh sửa chính sách nhóm (Group Policy Object Editor - GPOE) : Là
thứ mà bạn sử dụng để tổ chức và quản lý các thiết lập chính sách nhóm trong mỗi
GPO. Chúng ta sẽ xem xét đến 3 loại GPOE :
- Local Group Policy Object Editor (Hình 2.1)
- Domain Group Policy Object Editor (Hình 2.2)
- Domain Controller Group Policy Object Editor (Hình 2.3)
(*) Để sử dụng công cụ cục bộ, bạn vào Start/Run gõ GPEDIT.MSC :
Hình 2. 1: Local Group Policy Object Editor
18
Tìm hiểu chính sách nhóm
Hình 2. 2: Domain Group Policy Object Editor
Hình 2. 3: Domain Controller Group Policy Object Editor

19
Tìm hiểu chính sách nhóm
(*) Để sử dụng Domain GPO:
- Tại máy chủ Windows 2003, vào Start/Programs/Administrative Tools chọn
Active Directory users and computers hoặc vào Start/Run gõ dsa.msc.
- Nhấp chuột phải vào tên Domain, chọn properties
- Chọn thẻ Group Policy, chọn Edit. Giao diện bạn nhìn được sẽ như hình 2.
(*) Cuối cùng để sử dụng Domain Controller GPO thì phức tạp hơn :
- Vào Start/Run gõ mmc
- Vào File chọn Add/Remove Snap-in hoặc sử dụng phím tắt Ctrl-m.
- Tại thẻ Standalone, chọn Add
- Trong hộp thoại Add Standalone Snap-in hiện ra chọn Group Policy
- Trong hộp thoại Select Group Policy Object chọn Browse
- Cửa sổ Browse for a Group Policy Object hiện ra, nhấp đúp vào thư mục
Domain Controller và chọn Default Domain Controller Policy
Nhấn Finish, OK và ta được giao diện như hình 3

tính khởi động hoặc tắt.
- Đăng nhập/Đăng xuất (Logon/Logoff – Nhánh người dùng): Chạy khi người
dùng đăng nhập hoặc đăng xuất.
Windows Server 2003 thực thi các Script theo thứ tự từ trên xuống dưới và
ta hoàn toàn có thể điều chỉnh thứ tự các Script sao cho hợp lý trong hộp thoại
Properties.
Khi chúng ta thực hiện tắt máy, Windows đầu tiên sẽ thực hiện Script logoff, sau
đó mới đến Script shutdown. Mặc định, giá trị thời gian trễ tạm ngừng (timeout) là
10 phút. Nếu các Script trên đòi hỏi hơn 10 phút để xử lý, ta cần phải điều chỉnh lại
giá trị bằng chính sách phần mềm. Chúng ta có thể sử dụng bất cứ ngôn ngữ kịch bản
ActiveX nào để viết các Script như VBScript, JScript, PERL hay các tệp bat (Batch
Files).
Lưu ý : Một điểm mới trong Windows Server 2003 là các Script logon nằm
trong thư mục chia sẻ ở một rừng khác sẽ hỗ trợ việc đăng nhập “xuyên rừng” (Across
Forests).
Các thiết lập bảo mật:
Cho phép người quản trị cấu hình các mức độ bảo mật gán cho GPO cục bộ hoặc
không cục bộ.
Trong nhánh người dùng, ngoài các Script và thiết lập bảo mật còn có :
- Remote Installation Services (RIS): Dùng để điều khiển quá trình cài đặt hệ
điều hành từ xa.
- Folder Redirection : Cho phép gửi lại (redirect) các thư mục đặc biệt như
Application Data, Desktop, My Documents, Start menu từ địa chỉ profile người dùng
mặc định đến địa chỉ thay thế trên mạng, nơi các profile này được quản lý chung.
- Internet Explorer Maintenance: Cho phép quản trị và tuỳ biến Trình duyệt
web IE trên máy tính chạy Windows Server 2003.
22
Tìm hiểu chính sách nhóm
2.1.6.2. Các khuôn mẫu quản trị (Administrative Templates AT)
Hình 2. 7: Khuôn mẫu quản trị

- Windows Components : Cho phép quản trị các thành phần Windows bao
gồm Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task
Scheduler, Terminal Services, Microsoft Windows Installer, Microsoft Windows
Messenger, Microsoft Media Player và Microsofts Update.
- System : Sử dụng để điều khiển cách mà Windows được truy cập và sử dụng
bao gồm các thiết lập cho profile người dùng, các Script, các hàm đăng nhập, đăng
xuất và cả Group Policy nữa. Riêng đối với nhánh máy tính còn có cả Disk Quota,
dịch vụ Net Logon, Remote Assistant, System Restore, Error Reporting, Windows File
Protection, Remote Procedure Call và Windows Time Service. Đối với nhánh người
dùng thì lại có tuỳ chọn CTRL + ALT + DEL và Power Management.
- Network : Cho phép điều khiển cách mạng được truy cập và sử dụng. Bao
gồm các thiết lập cho Offline File, mạng và kết nối quay số. Đối với nhánh máy tính
các thiết lập còn có dịch vụ DNS cho máy trạm, Quality of Service (QoS) Packet
Scheduler và Simple Network Management Protocol (SNMP).
Ngoài 3 nút con trên, đối với nhánh máy tính còn có các thiết lập cho máy in
(Printers). Còn đối với nhánh người dùng là Start menu and taskbar, Desktop, Control
Panel và Shared Folders.
Chúng ta thấy có vô vàn các thiết lập trong AT, do đó các bộ lọc đã được phát triển
để làm giảm sự lộn xộn khi quan sát trên màn hình. Chúng ta có thể lọc ra tất cả những
gì muốn quan sát. Để sử dụng bộ lọc chúng ta làm như sau :
- Trong cửa sổ GPOE nhấp chuột phải vào Administrative Templates, chọn
View, chọn Filtering.
24
Tìm hiểu chính sách nhóm
- Chọn Filtering by Requirements information nếu muốn loại bỏ một thành
phần nào đó đang được hiển hị ở GPOE
- Chọn Only Show Configured Policy Settings nếu muốn ẩn các thiết lập
không được cấu hình.
- Chọn Only Show Policy Settings That Can Be Fully Managed nếu muốn
ẩn các thiết lập hệ thống Windows NT 4style. Mặc định là được lựa chọn.