Các thiết lập bảo mật đặc biệt của Group Policy
Ngu
ồn : quantrimang.com 
Derek Melbe
r
Rất nhiều các thiết lập bảo mật có thể được cấu hình trong Group Policy
Object. Các thiết lập đó trải rộng từ việc điều khiển tài khoản Administrator
đến quản lý các nhu cầu máy khách LDAP. Với quá nhiều thiết lập bảo mật
như vậy thì việc hiểu được chức năng và các yếu tố cần thiết khác là một
việc quan trọng. Trong bài viết này, chúng tôi sẽ giới thiệu một cách chi tiế
t
về một số thiết lập bảo mật cũng như một số kịch bản chung nhất về bảo
mật.

Thi hành các thiết lập bảo mật của Group Policy

Đề tài này đã có các bài viết của chúng tôi hoặc báo khác nói đến rất nhiều,
nhưng các bài viết trước đây chỉ giới thiệu cho bạn cách có thể bảo đảm cho các
thiết lập bảo mật đ
ó được áp dụng như thế nào. Còn trong bài này, chúng tôi
muốn giới thiệu thêm một số chi tiết sâu hơn về cách có thể thẩm định thiết lập
nào là “các chính sách” và thiết lập nào là “tham chiếu” để bạn có một sự hiểu
biết rõ ràng về cách mỗi thiết lập được áp dụng đối với máy tính. Với mỗi kiểu
thiết lập, bạn có thể thực thi các thiết lập này ở khoảng thời gian làm mới Group
Policy, khoảng thời gian này xấp xỉ 90 phút.

Tất cả các chi tiết vẫn chạy ổn định và các kỹ thuật trong một số bài báo trước
đây đã giới thiệu vẫn hợp lệ. Tuy vậy, có một công nghệ xây dựng đính kèm -
“built-in” khác bạn cần tìm hiểu thêm ở đây. Công nghệ này cho phép bạn điều
khiển khoảng thời gian các thiết lập bảo mật trong GPO được làm mới mà không
cần tới b


Có một số bài đã viết về đề tài này nhằm miêu tả cách Account Policies trong
GPO ảnh hưởng tới bộ đ
iều khiển miền và Security Accounts Manager (SAM)
nội bộ trên các máy chủ và máy trạm trong miền như thế nào. Các thiết lập đó là
duy nhất cho bộ điều khiển miền do bản chất của tất cả bộ điều khiển miền cần
đồng bộ với một số thiết lập cho miền rộng.

Account Policies không chỉ là thiết lập ảnh hưởng đến các bộ điều khiể
n miền
trường hợp này mà còn có một số thiết lập bảo mật khác chỉ có thể được áp
dụng cho nút gốc của miền để gây ảnh hưởng lên các bộ điều khiển miền. Tiếp
đó, các thiết lập này cần chức năng giống như vậy để tất cả các bộ điều khiển
miền trong miền có một phía được đồng bộ và được hợp nhất khi trình diễn
miền. Nếu máy trạm nào vào bộ điều khiển miền A và có thiết lập X và m
ột máy
trạm khác vào bộ điều khiển B với thiết lập Y thì có thể gây ra các hiệu quả xấu
đáng kể trong toàn bộ công ty.

Các thiết lập được áp dụng cho tất cả bộ điều khiển miền thông qua GPO có liên
kết đến miền:
•
Account Policy
•
Network Security: Force logoff when logon hours expire – Bắt đăng xuất
khi thời hạn đăng nhập hết hạn
•
Accounts: Administrator account status – Trạng thái tài khoản quản trị viên
•
Accounts: Guest account status – Trạng thái tài khoản khách

Sử dụng GPMC, bạn có thể chuyển đổi được các GPO từ một miền này sang
một miền khác. Đây là một khả năng rất hữu dụng và thường được thực hiện
trong khi chuyển các đối tượng từ một miền test sang sản phẩm thực thụ, hoặc
giữa hai miền của sản phẩm với nhau. Trong hầu hết các trường h
ợp, thiết lập
có trong GPO là “trung tính”, nghĩa là chúng chỉ là một sự chuyển đổi tính năng
giữa “On” và “Off”. Mặc dù vậy, khi nói đến các thiết lập bảo mật, không phải tất
cả thiết lập đều đơn giản như vậy. Có rất nhiều thiết lập bảo mật dựa vào tài
khoản người dùng hay tài khoản nhóm để hướng vào nơi mà chúng áp dụng.
Các thiết lập đó yêu cầu đến sự quan tâm
đặc biệt khi thực hiện chuyển đổi từ
miền này sang miền khác. Bởi vì mỗi miền lại có các tài khoản nhóm và tài
khoản người dùng riêng cần phải được thông dịch với nhau. Các thiết lập bị ảnh
hưởng bao gồm:
•
User rights assignment – Chỉ định quyền người dùng
•
Restricted groups – Các nhóm bị hạn chế
•
Services – Các dịch vụ
•
File system - Hệ thống file
•
Registry
•
GPO DACL, nếu bạn chọn để duy trì trong quá trình copy.
Giải pháp cho vấn đề này là sử dụng bảng chuyển đổi Migration Tables trong
GPMC như trong hình 3.

Hình 3: Các bảng thông dịch cho phép đối với các chuyển đổi GPO của miền