Website: Email : Tel (: 0918.775.368
Lời nói đầu
Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu
đối với ngành công nghệ thông tin. Hầu như mọi ngành nghề lĩnh vực đều có thể
áp dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơn
trong việc quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra.
Các tiện ích do công nghệ đem lại là không thể phủ nhận và nó không thể tách
rời khỏi cuộc sống hiện tại của toàn thế giới. Tuy vậy, đi đôi với những lợi ích
đó là những mối nguy hiểm đến từ chính môi trường này – môi trường thông tin.
Việc số hóa tất cả các tư liệu, tài liệu có thể đem lạ sự nhẹ nhàng trong lưu trữ,
tìm kiếm và xử lý nhưng nó cũng đi kèm với nguy cơ bị đánh cắp qua mạng.
Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy được những tài liệu tại
những nơi có độ bảo mật kém. Việc mất đi những tư liệu then chốt như các hợp
đồng, các bí mật trong làm ăn của một tổ chức sẽ đem đến những hậu quả không
ai lường được. Do đó cần thiết phải có những biện pháp để bảo vệ các nguồn tài
nguyên của một công ty hay một tổ chức.
Xuất phát từ điều đó, tôi quyết định chọn đề tài này : “Sử dụng chính sách nhóm
trong Windows XP và Windows 2003”. Đề tài này chỉ nói lên một khía cạnh
nhỏ trong vấn đề bảo mật với phạm vi hữu hạn là mạng nội bộ trong một công ty
hay một tổ chức. Mạng nội bộ của một tổ chức có thể nói là một nút trong hệ
thống mạng toàn cầu, thực hiện bảo vệ thông tin theo tôi nghĩ phải đi từ mức
thấp nhất trở đi. Trong một mạng nội bộ, các tài nguyên là tài sản dùng chung và
cần thiết phải có các quy tắc bảo vệ những tài sản chung đó, tránh trường hợp vì
những lý do bất cẩn hay cố ý của người dùng mà bị thay đổi hay nguy hiểm hơn
là xoá mất.
Sử dụng chính sách nhóm là một giải pháp bảo vệ sự an toàn của tài nguyên
mạng. Chúng ta có thể thực hiện phân quyền đối với người dùng, giới hạn tính
năng phần mềm, theo dõi và kiểm tra các hoạt động của người dùng trong mạng,
…
Mặc dù đây chỉ là một phần nhỏ trong lĩnh vực bảo mật nhưng tôi cũng chưa thể
sử dụng hết các tính năng của chính sách nhóm. Những kiến thức thu được từ đề

F. Tổng kết chương…………………………………………………….52
Chương 5 - Thực hiện bảo mật với chính sách nhóm
A. Hai đối tượng chính sách nhóm mặc định………………….……….52
B. Hiểu về các thiết lập bảo mật hiệu dụng, cục bộ……………….……55
C. Các chính sách kiểm định……………………………………….…..55
D. Kịch bản logon, logoff, startup, shut down………………………….57
E. Các chính sách giới hạn phần mềm………………………………….58
F. Tổng kết chương…………………………………………………….61
- 2 -
Website: Email : Tel (: 0918.775.368
Chương 1 – Khái quát chung
A, Hệ điều hành Windows Server 2003
Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows
Server và được cải tiến rất nhiều so với các phiên bản trước đó :
- Bảo mật tốt hơn
- Độ tin cậy cao hơn
- Dễ dàng quản trị
Hệ điều hành này có 4 phiên bản :
- Web Edition
- Standard Edition
- Enterprise Edition
- Datacenter Edition
Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp)
Enterprise Edition Cấu hình tối thiểu Cấu hình đề nghị
Tốc độ CPU 133 MHz 733 MHz
RAM 128 MB 256 MB
Khoảng trống đĩa 1,5 GB Càng nhiều càng tốt
Phiên bản này có các tính năng :
Các loại dịch vụ : Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP, File và
in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft.

- 9 -
Website: Email : Tel (: 0918.775.368
Màn hình tổng kết các lựa chọn cài đặt xuất hiện, nếu thấy không có gì phải thay
đổi chúng ta nhấn Next
Bắt đầu tiến trình cài đặt
- 10 -
Website: Email : Tel (: 0918.775.368
Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành
---------------------------------------------------------------
C, Các khái niệm cơ bản về Active Directory
1, Phân biệt 2 mô hình Workgroup và Domain
Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại,
là hệ thống mạng nội bộ đầu tiên, có khả năng chia sẻ tài nguyên như văn bản,
máy in. Đối với mô hình này, không có máy chủ trung tâm, mỗi máy tính đều là
server đối với tài nguyên của mình. Mô hình này chỉ thích hợp với các mạng rất
nhỏ.
Mô hình Domain (miền) là mô hình mạng phỏ biến hiện nay trong các tổ
chức, doanh nghiệp. Trong mỗi một miền sẽ có một máy chủ quản trị miền lưu
giữ tất cả thông tin về mạng. Tất cả các máy tính trong mạng sẽ truy cập đến tài
nguyên chung ở máy chủ này.
2, Dịch vụ thư mục và Active Directory
Một dịch vụ thư mục (Directory service) là một nguồn tài nguyên số hoá
chứa một danh sách các tài nguyên có thể sử dụng trong một hệ thống mạng dữ
liệu. Một dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng,
các người dùng mạng và cả các thiết bị phần cứng, phần mềm. Các tài nguyên
này được lưu trữ tại một thư mục trung tâm nên mọi người đều có thể sử dụng
tại mọi thời điểm.
- 11 -
Website: Email : Tel (: 0918.775.368
Active Directory (AD) là một dịch vụ thư mục, nhưng không chỉ giữ vai

xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và
cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết
phải thực hiện trực tiếp trên máy tính đó.
---------------------------------------------------------------
- 12 -
Website: Email : Tel (: 0918.775.368
Chương 2 – Cơ bản về chính sách nhóm
Ở chương trước, chúng ta đã nắm được những khái niệm cơ bản về Active
Directory, về miền và các đối tượng trong miền. Đó là tiền đề để chúng ta tìm
hiểu các chương sau. Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chính
sách nhóm. Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thể
với chính sách nhóm, tuy vậy chương này rất quan trọng và nếu không nắm
được chúng ta sẽ không thể đi tiếp các chương sau. Các nội dung chính ở
chương này là :
- Các khái niệm về chính sách nhóm.
- Một số VD về chính sách nhóm.
- Một số công cụ dễ gây nhầm lẫn với chính sách nhóm.
A, Một số khái niệm về chính sách nhóm
1, Chính sách nhóm là gì ?
Ở chương 1 tôi đã nói khái lược về chính sách nhóm, bây giờ chúng ta sẽ nói rõ
hơn.
Chính sách nhóm (Group Policy) : Là một tập hợp các thiết lập cấu hình người
dùng và máy tính, nó chỉ rõ cách các chương trình, tài nguyên mạng và hệ điều
hành làm việc đối với tài khoản người dùng và máy tính trong một tổ chức.
Chính sách nhóm có thể thiết lập cho các máy tính (computer), các site, các
miền (domain) hay các đơn vị tổ chức (OU). Ví dụ : Sử dụng chính sách nhóm
bạn có thể cho phép những chương trình nào người dùng được phép sử dụng,
những chương trình nào xuất hiện trên màn hình desktop hay thanh thực đơn
Start của người dùng. Mặc dù có tên gọi là “Chính sách nhóm” nhưng bản chất
các thiết lập chính sách này không phải dành cho các nhóm mà là áp dụng cho

Hai kiểu đối tượng chính sách nhóm trên được lưu trữ tại :
%Systemroot%\SYSVOL\sysvol\Domain Name\Policíes\GPO GUID\ADM
Lưu ý : GPO chỉ được áp dụng cho các hệ điều hành Windows XP, Windows
2000, Windows 2003 và không áp dụng cho Windows 95, Windows 98,
Windows ME hay Windows NT.
Một GPO liên kết đến một site sẽ tác động lên tất cả các máy tính trong site đó.
Bởi thông tin thư mục được đồng bộ hoá giữa các máy chủ quản trị miền trong
một site và đến bất kì mấy chủ quản trị miền nào mà site đó liên kết đến. Do đó
một GPO có thể áp đặt cho nhiều miền trong một rừng ngay cả khi GPO đó
được lưu trữ trong một miền nhất định và chỉ được đọc tại miền đó trong khi các
máy khách chịu tác động đọc GPO liên kết đến site của chúng.
4, Công cụ chỉnh sửa chính sách nhóm
Công cụ chỉnh sửa chính sách nhóm (Group Policy Object Editor - GPOE) : Là
thứ mà bạn sử dụng để tổ chức và quản lý các thiết lập chính sách nhóm trong
mỗi GPO. Chúng ta sẽ xem xét đến 3 loại GPOE :
- Local Group Policy Object Editor (Hình 1)
- Domain Group Policy Object Editor (Hình 2)
- Domain Controller Group Policy Object Editor (Hình 3)
(*) Để sử dụng công cụ cục bộ, bạn vào Start/Run gõ GPEDIT.MSC :
- 14 -
Website: Email : Tel (: 0918.775.368
Hình 1
Hình 2
- 15 -
Website: Email : Tel (: 0918.775.368
Hình 3
(*) Để sử dụng Domain GPO :
- Tại máy chủ Windows 2003, vào Start/Programs/Administrative Tools
chọn Active Directory users and computers hoặc vào Start/Run gõ
dsa.msc.

- Publish : Khi ta muốn một ứng dụng nào đó sẵn sàng cho người
dùng được quản lý bởi GPO.
- 17 -
Website: Email : Tel (: 0918.775.368
b, Các thiết lập Windows (Windows Settings) :
Trong cả 2 nhánh máy tính và người dùng đều có các Script mở rộng (Scripts)
và các thiết lập bảo mật (Security Settings).
Các Script mở rộng :
Gồm 2 kiểu :
- Khởi động/Kết thúc (Startup/Shutdown – Nhánh máy tính) : Chạy khi
máy tính khởi động hoặc tắt.
- Đăng nhập/Đăng xuất (Logon/Logoff – Nhánh người dùng) : Chạy khi
người dùng đăng nhập hoặc đăng xuất.
Windows Server 2003 thực thi các Script theo thứ tự từ trên xuống dưới và ta
hoàn toàn có thể điều chỉnh thứ tự các Script sao cho hợp lý trong hộp thoại
Properties.
Khi chúng ta thực hiện tắt máy, Windows đầu tiên sẽ thực hiện Script logoff, sau
đó mới đến Script shutdown. Mặc định, giá trị thời gian trễ tạm ngừng (timeout)
là 10 phút. Nếu các Script trên đòi hỏi hơn 10 phút để xử lý, ta cần phải điều
chỉnh lại giá trị bằng chính sách phần mềm. Chúng ta có thể sử dụng bất cứ
ngôn ngữ kịch bản ActiveX nào để viết các Script như VBScript, JScript, PERL
hay các tệp bat (Batch Files).
Lưu ý : Một điểm mới trong Windows Server 2003 là các Script logon nằm
trong thư mục chia sẻ ở một rừng khác sẽ hỗ trợ việc đăng nhập “xuyên rừng”
(Across Forests).
Các thiết lập bảo mật :
Cho phép người quản trị cấu hình các mức độ bảo mật gán cho GPO cục bộ
hoặc không cục bộ.
Trong nhánh người dùng, ngoài các Script và thiết lập bảo mật còn có :
- Remote Installation Services (RIS) : Dùng để điều khiển quá trình cài

lưu tại khoá HKEY_CURRENT_USER. Thông tin về chính sách ở các khoá
này được lưu trữ tại 1 trong 4 cây sau :
- HKEY_LOCAL_MACHINE\Software\Policies (Thiết lập máy tính).
- HKEY_CURRENT_USER\Software\Policies (Thiết lập người dùng).
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi
on\Policies (Thiết lập máy tính).
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies (Thiết lập người dùng).
Trong cả 2 nhánh máy tính và người dùng, nút AT đều có 3 nút con Windows
Components, System, Network.
- Windows Components : Cho phép quản trị các thành phần Windows bao
gồm Microsoft NetMeeting, Internet Explorer, Application Compatibility,
Task Scheduler, Terminal Services, Microsoft Windows Installer,
Microsoft Windows Messenger, Microsoft Media Player và Microsofts
Update.
- System : Sử dụng để điều khiển cách mà Windows được truy cập và sử
dụng bao gồm các thiết lập cho profile người dùng, các Script, các hàm
đăng nhập, đăng xuất và cả Group Policy nữa. Riêng đối với nhánh máy
tính còn có cả Disk Quota, dịch vụ Net Logon, Remote Assistant, System
Restore, Error Reporting, Windows File Protection, Remote Procedure
Call và Windows Time Service. Đối với nhánh người dùng thì lại có tuỳ
chọn CTRL + ALT + DEL và Power Management.
- Network : Cho phép điều khiển cách mạng được truy cập và sử dụng.
Bao gồm các thiết lập cho Offline File, mạng và kết nối quay số. Đối với
nhánh máy tính các thiết lập còn có dịch vụ DNS cho máy trạm, Quality
of Service (QoS) Packet Scheduler và Simple Network Management
Protocol (SNMP).
Ngoài 3 nút con trên, đối với nhánh máy tính còn có các thiết lập cho máy in
(Printers). Còn đối với nhánh người dùng là Start menu and taskbar, Desktop,
Control Panel và Shared Folders.

a, Chính sách nhóm và Active Directory
(*) Khi bạn thiết lập chính sách nhóm ở mức cục bộ, tất cả mọi người sử dụng
máy tính cục bộ đó sẽ chịu tác động ngay, tuy nhiên khi nâng cấp máy để sử
dụng AD các chính sách được tạo ra sẽ có sự sàng lọc và phân loại cẩn thận
người dùng và máy tính nào phải chịu tác động. Phải lưu ý rằng khác với cơ chế
cục bộ, với AD ta chỉ có thể áp dụng tối đa 999 chính sách cho một người dùng
hoặc máy tính bất kỳ.
(*) Môi trường AD có cấu trúc phân cấp được thiết kế thành 3 lớp : Site,
Domain và OU
Do OU có thể chứa các OU khác nên AD có 1 khả năng chứa đựng gần như vô
hạn.
Lưu ý :
- Nếu 1 GPO được thiết lập ở mức site, các thiết lập đó sẽ tác động đến tất
cả các tài khoản nằm trong phạm vi của site. Phải chắc chắn rằng các tài
khoản này phải cùng một miền tuy nhiên chúng chỉ chịu tác động của
chính sách trong một site xác định
- Khi một GPO được thiết lập ở mức miền, nó sẽ tác động đến phần lớn
những gì nằm trong miền, đến tất cả các OU cũng như các OU chứa trong
đó (OU con)
- Khi một GPO được thiết lập ở mức OU nó sẽ tác động đến phần lớn
những gì nằm trong OU và tất cả các OU con.
Theo mặc định, khi một chính sách được thiết lập ở một mức nào đó, các mức
bên dưới sẽ thừa kế các thiết lập của mức trên nó.
Đọc đến đây bạn có thể thắc mắc rằng điều gì sẽ xảy ra nếu 2 chính sách xung
đột ? Giả sử như có một chính sách được thiết lập ở mức miền, còn một chính
sách khác lại được thiết lập ở mức OU và trái ngược với cái mà nó được kế thừa
- 21 -
Website: Email : Tel (: 0918.775.368
ở mức miền. Kết quả rất đơn giản : Thiết lập ở mức OU sẽ được thức hiện vì
theo mặc định các thiết lập càng ở mức sâu hơn càng có hiệu lực. Điều này có

thay vì đó chúng ta sẽ xem xét cách mà chính sách nhóm được triển khai và hoạt
động trong một công ty - ở đây là Sparrow.com
Nhìn vào hình ta thấy công ty này có 2 máy chủ quản trị miền là DC1 và DC2
đặt lần lượt tại các vị trí Ha Noi site và Thai Nguyen site. Máy chủ quản trị
miền sử dụng Active Directory Sites and Services.
Trong sparrow.com có 1 OU là Human Resource và bên trong OU này có 1
OU khác là Security. Trong OU Human Resource có 1 tài khoản máy tính là
Long PC và 1 người dùng là Hoang, tương tự trong OU Security là Nam PC và
Giang. Ngoài ra còn có một tài khoản máy tính là Hung PC thuộc miền
sparrow.com và không thuộc OU nào, nằm ở Thai Nguyen site.
Thêm nữa trong miền sparrow.com có một miền con là sales.sparrow.com
(Domain Child). Trong miền này có 1 máy chủ miền là DC3 cũng đặt tại Thái
Nguyên site.
Cuối cùng là Hoa PC thuộc miền sales.sparrow.com nằm tại Da Nang site.
Trên đây là những thành phần lý thuyết của miền sparrow.com, tiếp theo chúng
ta sẽ xét đến tác động cụ thể của chính sách nhóm.
b, Tác động của GPOs :
Như đã đề cập từ phần trước, AD có 3 mức là Site, Domain và OU. Các GPO
tác động lên 1 máy tính hay người dùng nào sau tất cả các mức này và thu được
kết quả cuối cùng được gọi là kết quả tập hợp chính sách – Resultant Set of
Policy (RSoP) đôi khi được gọi là phép tính RsoP (RSoP Calculation).
- 23 -
Website: Email : Tel (: 0918.775.368
Chúng ta hãy quan sát và mô hình miền Sparrow.com và sẽ thấy được phạm vi
tác động của chính sách nhóm lên các tài khoản máy tính và người dùng như
sau:
- Ở mức site :
Site Máy tính chịu tác động
Ha Noi Vinh PC, DC1, Long PC
Thai Nguyen DC2, Hung PC, DC3

Website: Email : Tel (: 0918.775.368
dùng thuộc OU Human Resource,
khi Hoang sử dụng Nam PC, Hoang
sẽ chịu tavs động của GPO ở 3 mức
là TPHCM site, sparrow.com, OU
Human Resource.
Thêm một điểm cần lưu ý là miền sales.sparrow.com là miền con của
sparrow.com nên sẽ kế thừa tất cả các GPO từ sparrow.com.
2, Ví dụ thực tế
a, Tạo một GPO mới : Ta đã có miền sparrow.com, OU human Resource và 1
OU bên trong là Security, trong OU Human Resource có 1 người dùng là
Hoang, trong OU Security có 1 người dùng là Giang. Ta sẽ tạo ra 1 GPO cho
OU Security :
Đầu tiên vào cửa sổ MMC và tạo 1 Snap-in mới (đã được đề cập từ trước).

Tại thẻ Standalone chọn Add, trong hộp thoại Add Standalone Snap-in chọn
Group Policy Object Editor
Trong cửa sổ Select Group Policy Object, chọn Browse, hiện ra danh sách các
thư mục và GPO để lựa chọn :
- 25 -

Trích đoạn Tại sao chính sách nhóm không được thi hành Các chính sách kiểm định

---