�ݺ�ߣ

TOÅNG QUAN VEÀ ÑEÀ TAØI Giới thiệu chung User Group & OU Quyền hạn của user Chính sách cho máy tại chỗ và miền Mô hình triển khai thực tế Demo Group 01

Group 01 User User account: Là một đối tượng quan trọng đại diện cho người dùng ở trên mạng. 1.1 Local user cccount Định nghĩa trên máy cục bộ. Chỉ được logon. Truy cập tài nguyên trên máy cục bộ. Muốn truy cập tài nguyên thì phải chứng thực lại. Lưu trong SAM tại: INDOWSYSTEM32ONFIG + Các tài khoản người dùng: Tài khoản được sử dụng mà không cần xác minh Ít quyền hạn Mặc định là vô hiệu hóa Không thể xóa Không thể vô hiệu hóa Không thể giới hạn chính sách Nên đổi tên Guess Administrator

Được định nghĩa trên AD Logon vào mạng trên bất kỳ máy nào trên mạng Người dùng có thể truy cập đến các tài nguyên trên mạng thông qua tài khoản này Lưu trong tập tin NTDS.DIT tại: INDOWSTDS1.2 Domain user account User

GROUP & ORGANIZATION UNIT (OU) 1. Group account. Là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý các đối tượng người dùng. 2. Các loại group và chức năng của group. 2.1 Nhóm bảo mật (Security Group) Là loại nhóm dùng để cấp phát các quyền hạn và quyền truy cập Local group Universal group Global group 2.2 Nhóm phân phối (distribution group) Nhóm phân phối là loại nhóm không có quyền hạn gì về bảo mật 3. OU (organizational unit) Organizational Unit hay hay OU là đơn vị nhỏ nhất trong hệ thống AD , nó được xem là một vật chứa các đối tượng ( Object ) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy.

Ou trong doanh nghieäp 4.Vì sao phải tạo ra các OU trong doanh nghiệp? 4.1 Giúp thuận tiện cho việc quản lý: Trao quyền kiểm soát một tập hợp các tài khoản người dùng và tài khoản máy cho một nhóm người dùng Kiểm soát và khóa chặt các máy trạm của người dùng thông qua qua việc sử dụng các đối tượng chính sách nhóm (GPO) 4.2 Giảm tải công việc cho người quản trị mạng: Bằng cách Uỷ quyền cho một User nào đó có quyền thay thế anh ta trong việc quản lý các User Account nhưng với quyền hạn chế hơn 5. OU & GROUP sự giống & khác biệt giữa chúng là gì? 5.1 Giống nhau Đều là cấu trúc của AD có thể chứa những cấu trúc khác bên trong nó 5.2 Khác nhau Organizational unit Group OU có một User có quyền quản lý các User còn lại Có khả năng chứa các đối tượng trong AD - Group thì không - Chỉ là những thuộc tính của một đối tượng

1. Windows server cho phép bạn kiểm soát khả năng truy cập người dùng bằng 2 công cụ 1.1 Permission (quyền truy cập) Là một thiết định có tác dụng kiểm soát mức độ truy cập vào một đối tượng nào đó trên mạng, và có sự khác biệt giữacác đối tượng với nhau. 1.2 Right (quyền hạn) Là thiết định giao cho bạn khả năng thục hiện những chuyện cụ thết nào đó. Chúng thương có khuynh hướng áp dụng vào một máy cụ thể nào đó. Quyeàn haïn vaø quyeàn truy caäp ngöôøi duøng

Permission (quyeàn truy caäp) kieåm soaùt Các khóa registry, vốn quyết định ai được phép đọc hoặc sửa đổi một khóa hoặc một đề mục giá trị nhất định nào đó. Nội dung của các miền và các OU,vốn quyết định ai được phép đưa các đối tượng nào đó vào một miền hoặc một OU. Các dịch vụ hệ thống,để bạn có thể kiểm soát ai được phép khởi động hoặc dừng một dịch vụ nào đó. Các thư mục và các file.

Caùc ñaëc tính cuûa Permission

Ranh giới giữa quyền truy cập và quyền hạn có phần mờ nhạt, ( như việc tạo ra một người dùng trong một miền, chính các quyền truy cập kiểm soát điều đó; nhưng khả năng thực sự ngồi xuống tại một sever rồi đăng nhập thì đó lại là quyền hạn) Quyền hạn thực chất là những quyền lực mà chỉ có đối với máy thôi có ý nghĩa lấn có thể lấn át hoặc phủ quyết các Permission (Quyền truy cập). Các nhóm được xây dựng sẵn của WINSEVER có một số đã được cấp phát sẵn quyền hạn rồi,việc quản lý về bảo mật sẽ dễ dàng hơn khi các quyền hạn được cấp phát thông qua các nhóm thay vì cho từng người riêng lẻ. Right (quyeàn haïn)

Caùc quyeàn haïn cuûa ngöôøi duøng

Caùc chính saùch nhoùm cho maùy taïi choã vaø mieàn 1. Định nghĩa Group policy Group policy là công cụ cụ thể để áp dụng phần lớn những việc kiểm soát khác nhau trong một mạng Actice Directory. 2. Sự khác nhau của System policy và Group policy. GP chỉ có thể hiện hữu trên miền Active Directory. GP làm được nhiều hơn chính sách hệ thống (ví dụ: Bạn có thể dùng GP để triển khai phần mềm cho một (hoặc nhiều) máy trạm nào đó một cách tự động) GP tự động hủy bỏ tác dụng khi được hủy bỏ GP được áp dụng thường xuyên hơn các SP. Các SP chỉ được áp dụng khi máy khách login, các GP thì được áp dụng khi mở máy khách lên hoặc login, và một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc Bạn có nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một chính sách nhóm nào đó GP chỉ áp dụng đối với các máy Win2K, XP, Win2K3..

3. Những gì bạn làm được với chính sách nhóm Triển khai phần mềm ứng dụng Ấn định quyền hạn người dùng Giới hạn những ứng dụng mà người dùng được phép chạy Kiểm soát các thiết bị hệ thống Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy Đơn giản hóa và hạn chế các chương trình Hạn chế tổng quát màn hình Desktop của người dùng Caùc chính saùch nhoùm cho maùy taïi choã vaø mieàn 4. Giải quyết các mâu thuẫn chính sách nhóm Thứ tự thi hành chính sách nhóm quy tắc 1: Tuân theo chính sách cuối cùng mà bạn được áp dụng quy tắc 2: Thi hành các chính sách từ dưới lên trên, theo thứ tự mà chúng xuất hiện trong GUI. Thứ tự áp dụng các chính sách nhóm hình vẽ Lọc chặn chính sách nhóm bằng các ACL Sử dụng các bộ lọc WMI với các chính sách nhóm No Override và Block Inheritance

Caùc chính saùch nhoùm cho maùy taïi choã vaø mieàn Tóm lại để xác định đối tương chính sách nào sẽ thắng, bạn cần: Xem xét tỷ mỉ các chính sách theo thứ tự như sau: các chính sách tại chỗ rồi đến các chính sách site, rồi các chính sách miền, các chính sách OU rồi đến các chính sách OU bên trong OU. Bên trong một đơn vị bất kỳ nào đó – site, miền hoặc OU, xem xét các chính sách theo thứ tự xuất hiện trong GUI, từ dưới lên trên. Nếu các chính sách mâu thuẫn nhau, bạn chỉ cần chú ý đến chính sách cuối cùng mà bạn đã khảo sát trừ trường hợp một chính sách được thiết lập No Override. Trước khi áp dụng một chính sách, hãy kiểm tra ACL của nó. Nếu bạn không có các quyền Read và Apply Group Policy thì chính sách đó không được áp dụng.

Caùc chính saùch nhoùm cho maùy taïi choã vaø mieàn 5. Tìm và giải quyết trục trặc của chính sách nhóm Công cụ Resulttant Set of Policy (RSOP) GPRESULT GPOTOOL Những khoá Registry để làm xuất hiện các chính sách nhóm Sử dụng công cụ Group Poily Management Console

Caùc chính saùch nhoùm cho maùy taïi choã vaø mieàn Những nguyên tắc cơ bản của việc tìm và giải quyết trục trặc chính sách nhóm Giữ cho chiến lược chính sách nhóm đơn giản, hãy nhóm các người dùng và máy lại với nhau trong các OU nếu có thể. Nên tránh việc cónhiều GPO với những thiết lập mâu thuẫn nhau áp dụng vào những đối tượng tiếp nhận giống nhau. Chỉ nên sử dụng ở múc tối thiểu các tính năng No Override và Block Policy Inheritance. Lập tài liệu về chiến lược chính sách nhóm của bạn, có thể cần phác họa ra cấu trúc chính nhóm và ghi chép lại.

Moâ hình trieån khai thöïc teá

�ݺ�ߣ

Gpo

More Related Content

Gpo