BÀI 2: CHÍNH SÁCH NHÒM ( GROUP POLICY )
Chuẩn bị :
- Khởi động máy chọn Windows Server 2003 đã nâng cấp lên Domain Controller
- Bỏ giới hạn password (Domain Security Policy→Acount Policies→Password Policy)
- Tạo OU tên :”ITTI”
- Trong OU ITTI, tạo 2 OU:”Nhansu” và “Ketoan”
- Trong OU Ketoan tạo 2 User : “KT1” và “KT2”
- Trong OU Nhansu tạo 2 User : “NS1” và “NS2”
- Cho group users quyền Allow Logon Locally (Domain Controller Security Policy→Local Policies→Users Right Assignment)
- Gpupdate /force
9 trang |
Chia sẻ: phuongt97 | Lượt xem: 662 | Lượt tải: 0
Nội dung tài liệu Chính sánh hệ thống và chính sánh nhóm (System Policy và Group Policy), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 4: CHÍNH SÁNH HỆ THỐNG VÀ CHÍNH SÁNH NHÓM (SYSTEM POLICY VÀ GROUP POLICY)
BÀI 2: CHÍNH SÁCH NHÒM ( GROUP POLICY )
Chuẩn bị :
Khởi động máy chọn Windows Server 2003 đã nâng cấp lên Domain Controller
Bỏ giới hạn password (Domain Security Policy→Acount Policies→Password Policy)
Tạo OU tên :”ITTI”
Trong OU ITTI, tạo 2 OU:”Nhansu” và “Ketoan”
Trong OU Ketoan tạo 2 User : “KT1” và “KT2”
Trong OU Nhansu tạo 2 User : “NS1” và “NS2”
Cho group users quyền Allow Logon Locally (Domain Controller Security Policy→Local Policies→Users Right Assignment)
Gpupdate /force
I. Tạo Group Policy
1. Làm mất Control Panel đối với các user nằm trong OU kế toán
B1 : Logon Administrator→vào Active Directory User and Comouter→click chuột phải trên OU Ketoan→Properties→chọn tab Group Policy→New→đổi tên New Group Policy Objects thành “Mat Control Panel” →Edit
B2 : chọn User Configuration→Administrative Templates → Control Panel→Click chuột phải trên Prohibit access to the Control Panel (ở cửa sổ bên phải) →Properties→Enable→Apply→Ok→đóng cửa sổ Group Policy→OK
B3 : Đóng tất cả các cửa sổ→cập nhật Policy (gpupdate /force)
B4 : Logoff Administrator→Logon KT1
B5 : Vào Start→Settings (Control Panel đã bị ẩn)
Làm mất biểu tượng Recycle Bin trên Desktop đối với các Users nằm trong OU Nhansu
B1 : Logoff KT1 →Logon Administrator→vào chương trình Active Directory Users and Computers→Click chuột phải trên OU Nhansu→Properties→chọn tab Group Policy→New→đổi tên New Group Policy Object thành “Mat Recycle Bin” →Edit
B2 : chọn User Configuration→Administrative Temples→Desktop→click chuột phải trên Remove Recycle Bin Icon from Desktop (ở cửa sổ bên phải) →Properties→Enabled→Apply→Ok→đóng cửa sổ Group Policy→Ok
B3 : Đóng tất cả các cửa sổ→Cập nhật Policy (gpupdate /force)
B4 : Logoff Administrator→ Logon NS1 (Biểu tượng Recycle Bin trên desktop đã mất)
Làm mất biểu tượng My Network Place cho các users nằm trong OU ITTI
B1 : Logon ADministrator→Vào chương trình Active Directory User nad Computer→Click chuột phải trên OU ITTI→Properties→chọn tab Group Policy→New →đổi tên new group policy object thành “Mat My Network Place trên Desktop” →Edit
B2 : Chọn user Configuration→Administrative Template→Desktop→Click chuột phải trên Remove Recycle Bin icon from desktop (ở cửa sổ bên phải) →Properties→Enable→Apply→Ok→đóng cửa sổ Group Policy→OK
B3 : Đóng tất cả các cừa sổ →cập nhật Policy (gpupdate /force)
B4 : Logoff Administrator→Logon KT1 (Biểu tượng My NetworkPlace trên màn hình Desktop của KT1 đã mất và đồng thời Control Panel của KT! Cũng mất)
B5 : Logoff KT1→Logon NS1 (Biểu tượng My NetworkPlace và Recycle Bin trên màn hình desktop của NS1 đã mất)
Bỏ chức năng kế thừa cho OU Ketoan (Block Policy Inheritance)
B1 : Logon Administrator→Vào chương trình Active Directory User and Computer→Click chuột phải trên Ou Ketoan→Properties→chọn tab Group Policy→đánh dấu chọn vào ô Block Policy Inheritance→Apply→OK
B2 : Logoff Administrator→Logon KT1 (Biểu tượng My Network Place có trên Desktop, nhưng Control Panel thì không)
B3 : Logoff KT1→Logon NS1 (Biểu tượng My Network Place và Recycle Bin đã bị mất trên màn hình Desktop)
5. Override Block Inheritance (bắt buộc các OU con phải thừa hưởng Policy của OU cha)
B1 : Logon Administrator→Vào Active Directory Users and Computers→click chuột phải trên OU ITTI→Properties→chọn tab Group Policy→Options→đánh dấu chọn vào ô No Override : Preventes other Group Policy Objects from overrding Policy set in this one→Ok→OK
B3 : Đóng tất cả cửa sổ lại→Cập nhật Policy (gpupdate /force)
B4 : Logoff Administrator→Logon KT1 (thấy biểu tượng My Network Place đã mất trên Desktop)
II. Folder Redirection
B1 : Máy Domain Controller logon Administrator→Vào C:\ tạo folder tên “My Docs” share cho group Everyone quyền Full Control
B3 : Vào Active Directory Users and Computers→click phải chuột vào OU Nhansu→Properties→chọn Tab Group Policy→New → Đặt tên Policy là Folder Redirect→Edit
B3 : Vào user Configuration→Windows Setting→Folder Redirection→Click phải chuột trên My Documents→Properties
B4 : Trong tab Target phần Settings chọn Basic : redirect everyone
→trong hộp thoại Root Path gõ \\pcxx\My Docs
→Apply→OK→đóng các cửa sổ đang có→cập nhật Policy (pgupdate /force)
Lưu ý : pcxx : tên máy Domain Controller
My Docs : tên thư mục share
B5 : Logoff Administraor→Logon NS1→click phải chuột trên My Documents→Properties→Trong ô target thấy
\\pcxx\My Docs\NS1\MyDocumnets
B6 : Logoff NS1→Logon Administrator→Va2o C:\MyDocs (thấy trong My Docs hệ thống tự động tạo ra thư mục ns1 chứa My Documents của User NS1)
IV. Logon/Logoff Scripts
B1 : Logon ADministrator→vào Active Directory Users and Computers→click chuột lên OU ITTI→Properties→Group Policy→New đặt tên Policy là : “Logon/Logoff” → Edit
→trong Group Policy Object Editor→ Vào User Configuration→Windows Setting→Scripts (Logon/Logoff) →click phải chuột trên Logon→Properties→show Files
→Click phải chuột trên cửa sổ đang có→New→Text Document→Đặt tên file là : “Logon.vbs” →click phải chuột Logon.vbs→Edit→gõ nội dung nhu sau :
Msgbox”Hello” →Save lại
→Đóng cửa sổ chứa file Logon.vbs→trong hộp thoại logon Properties →chọn Add→trong hộp thoại Add a Script→chọn Browse→chọn file Logon.vbs→Open→OK→Apply→Ok→đóng các cửa sổ đang có→cập nhật Policy (gpupdate /force)
B2 : Logoff administrator→Logon KT1 (khi logon thấy hộp thoại có nội dung là Hello)
→Logoff KT1→Logon NS1 (Khi Logon thấy hộp thoại có nội dung là Hello)
B3 : Logon administratorVào Active Directory Users and Computers→Click phải chuột trên OU ITTI→Properties→Group Policy→chọn Logon/Logoff→Edit→Trong group Policy Object Editor→Vào User Configuration→Windows Setting→Scripts (Logon/Logoff) →Click phải chuột trên Lgoff → Properties→Show Files
→Click chuột phải vào cửa sổ đang có →New→Text Document→Đặt tên file là :”Logoff.vbs” →Click phải chuột Logoff.vbs→Edit→gõ nội dung nhu sau:
Msgbox “Goodbye” →Save lại
→Đóng cửa sổ chứa file Logon.vbs→trong hộp thoại Logon Properties→chọn Add→Trong hộp thoại Add a Script→chọn Browse→chọn file Logon.vbs→Open→Ok→Apply→Ok→đóng các cửa sổ đang có→cập nhật Policy (gpupdate /force)
→Logoff Administrator→Logon NS1→thấy hộp thoại Hello→chọn Ok→Logoff NS1 (khi Logoff thấy hộp thoại có nội dung Goodbye)
Các file đính kèm theo tài liệu này:
- chinh_sanh_he_thong_va_chinh_sanh_nhom_system_policy_va_grou.doc