Upload
hoc-lap-trinh-web
View
2.086
Download
4
Embed Size (px)
DESCRIPTION
Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy
Citation preview
Bài 7:Quản trị người dùng thông qua
chính sách nhóm
Bài 7:Quản trị người dùng thông qua
chính sách nhóm
Nội dung bài học trước
Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy
Các khái niệm về Group Policy, các thành phần và cácháp dụng GPTriển khai phạm vi của GPOMô hình và báo cáo Group PolicyQuản lý các đối tượng Group PolicyCác tùy chọn ủy quyền quản trị đối tượng Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 2
Mục tiêu bài học
Cấu hình các thiết lập Group PolicyCấu hình Scripts và Folder Redirection với Group PolicyCấu hình Administrative TemplatesTriển khai cài đặt phần mềm bằng Group PolicyCấu hình Group Policy PreferencesGiới thiệu về Group Policy TroubleshootingKhắc phục sự cố về ứng dụng trong Group PolicyKhắc phục sự cố về thiết lập trong Group Policy
Cấu hình các thiết lập Group PolicyCấu hình Scripts và Folder Redirection với Group PolicyCấu hình Administrative TemplatesTriển khai cài đặt phần mềm bằng Group PolicyCấu hình Group Policy PreferencesGiới thiệu về Group Policy TroubleshootingKhắc phục sự cố về ứng dụng trong Group PolicyKhắc phục sự cố về thiết lập trong Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 3
Tùy chọn cho việc cấu hình cácthiết lập Group Policy
Enable / DisableEnable / Disable Multi-valued settingsMulti-valued settings
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 4
Group Policy Scripts là gì?
Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page fileMAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/vBạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page fileMAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v
Các thiết lập Group Policy Scripts đượcsử dụng:Các thiết lập Group Policy Scripts đượcsử dụng:
• Cho máy tính
Startup scripts
Shutdown scripts
• Cho người dùng
Logon scripts
Logoff scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 5
Folder Redirection là gì?
Folder redirection cho phép thưc mụcđược đặt trên máy chủ, nhưng sẽ xuấthiện như là 1 ổ đĩa cục bộ trên máy trạmcủa mỗi người dùng.
Folder redirection cho phép thưc mụcđược đặt trên máy chủ, nhưng sẽ xuấthiện như là 1 ổ đĩa cục bộ trên máy trạmcủa mỗi người dùng.
Các thư mục có thể chuyển hướng (Folder redirection):
• My Documents (Documents in Windows® Vista)• Application Data (AppData in Windows Vista)• Desktop• Start Menu
• My Documents (Documents in Windows® Vista)• Application Data (AppData in Windows Vista)• Desktop• Start Menu Các thư mục phụ có thể chuyển hướng
trong Windows Vista:
• Contacts• Downloads• Favorites
• Searches• Links
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 6
Folder Redirection
AccountingUsers
AccountsN-Z
AccountsA-M
• Sử dụng Folder Redirection cơ bản khitất cả người dùng lưu file của họ tới1 vị trí
• Với Folder Redirection nâng cao,các thư mục trên máy chủ được dựatrên các thành viên trong nhóm
AccountsN-Z
AccountingManagers
Anne
Misty
• Chọn vị trí thư mục đích:• Chuyển hướng tới thư mục home
của người dùng• Tạo 1 thư mục cho mỗi người dùng
theo Root Path ( đường dẫn gốc)• Chuyển hướng tới UserProfile
cục bộ
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 7
Thiết lập bảo mật choRedirected Folders
Full control - subfolders and files only
Administrator
Security group ofusers thatput data on share
Local System
Creator/Owner
• None
• List Folder/Read Data, Create Folders/Append Data - This FolderOnly
• Full control
NTFS permissions for root folder
Share permissions for root folder
Full control - subfolders and files onlyCreator/Owner
Security group ofusers thatput data on share
• Full control
%Username% • Full control, owner of folder
• None
• Full Control
NTFS permissions for each users’ redirected folder
Administrators
Local system
Full control - subfolders and files onlyCreator/Owner
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 8
Administrative Templates là gì?
Administrative Templatescho máy tính:
• Windows components• System• Network• Printers
Administrative Templates chongười dùng:
• Windows components• Start menu and taskbar• Desktop• Control panel• Shared folders• Network• System• Applications
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hànhvà người dùng
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hànhvà người dùng
• Windows components• System• Network• Printers
• Windows components• Start menu and taskbar• Desktop• Control panel• Shared folders• Network• System• Applications
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 9
Chỉnh sửa Administrative Templates
ADMX files:• Có khả năng mở rộng• Có thể chỉnh sửa bằng nhiều trình soạn thảo
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặcCentral StoreCác file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặcCentral Store
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 10
Chuẩn bị
11
Tùy chọn cho triển khai và quản lýphần mềm sử dụng Group Policy
Triển khai
1.0
22
Duy trì
2.0
33
Gỡ bỏ
44
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 11
Software Distribution làm việc như thếnào?
Windows Installer
Windows Installer service
Tự động hoàn toàn khi cài đặtvà cấu hình phần mềm
Sửa đổi hay sửa chữa một càiđặt ứng dụng đã tồn tại
Windows Installer service
Tự động hoàn toàn khi cài đặtvà cấu hình phần mềm
Sửa đổi hay sửa chữa một càiđặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứngdụng
Một file .MSI hay bất kìa 1 file theo nguồnbên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứngdụng
Một file .MSI hay bất kìa 1 file theo nguồnbên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer service
Tự động hoàn toàn khi cài đặtvà cấu hình phần mềm
Sửa đổi hay sửa chữa một càiđặt ứng dụng đã tồn tại
Windows Installer service
Tự động hoàn toàn khi cài đặtvà cấu hình phần mềm
Sửa đổi hay sửa chữa một càiđặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứngdụng
Một file .MSI hay bất kìa 1 file theo nguồnbên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứngdụng
Một file .MSI hay bất kìa 1 file theo nguồnbên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Lợi ích khisử dụng
Windows
Installer
Tùy chỉnh khicài đặt
Khả năng phục hồicác ứng dụng
Gỡ bỏ hoàn toàn
Tùy chỉnh khicài đặt
Khả năng phục hồicác ứng dụng
Gỡ bỏ hoàn toàn
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 12
Điểm phân bố phầnmềm
Điểm phân bố phầnmềm
Tùy chọn cho việc cài đặt phần mềm
Gán phần mềm trong khicấu hình máy tính
Gán phần mềm trong khicấu hình máy tính
Điểm phân bố phầnmềm
Điểm phân bố phầnmềm
Áp dụng phần mềm sử dụngdocument activation
Áp dụng phần mềm sử dụngdocument activation
?
Áp dụng phần mềm bằngcách dùng chức năng
Add or RemovePrograms
Áp dụng phần mềm bằngcách dùng chức năng
Add or RemovePrograms
Gán phần mềm trong khicấu hình người dùng
Gán phần mềm trong khicấu hình người dùng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 13
Tùy chọn cho chỉnh sửa SoftwareDistribution
Các tùy chọn:Phần mềm có thể được phân loại trong Add Programs
Phần mềm triển khai có thể được tùy chỉnh bằng cách sử dụngfile MST
Phần mở rộng có thể được liên kết với các ứng dụng cụ thể
Công bố các gói:
Ấn định các gói:
Advertised trong Active Directory có sẵn cho người dùng để cài đặt bằng Add orRemove Programs trong Control Panel
Ứng dụng được cài đặt tự động và sẽ được tự động cài đặt lại nếu bị gỡ bỏ
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 14
Duy trì phần mềm đã được cài đặt bằngGroup Policy
Bắt buộc nâng cấp
Người dùng chỉ cóthể sử dụngphiên bản đãnâng cấp
Người dùng cóthể quyết địnhviệc nâng cấp.
2.0
1.02.0
Triển khai nâng cấpphiên bản mới của
ứng dụng
Triển khai nâng cấpphiên bản mới của
ứng dụng
Tùy chọn nâng cấp
Người dùng cóthể quyết địnhviệc nâng cấp.
Chọn lựa để nâng câp
Bạn có thể chọncác người dùngđặc biết cho 1 lầnnâng cấp
2.0
1.0
2.0
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 15
Group Policy Preferences là gì?
Group Policy Preferences mở rộng phạm vi của cấu hình cácthiết lập bên trong một GPO
Không được thực thi
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điềuhành và cài ứng dụng mà không được có khả năng quản lýbằng Group Policy
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điềuhành và cài ứng dụng mà không được có khả năng quản lýbằng Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 16
Sự khác nhau giữa Group PolicySettings và Preferences
Group Policy settings Group Policy preferences
Thực thi các thiết lập chính sáchbằng cách viết các thiết lập cho cáckhu vực của registry mà ngườidùng không thể sửa đổi
Được ghi vào vị trí bình thường trongregistry mà các ứng dụng hoặc tínhnăng hệ điều hành sử dụng để lưu trữcác thiết lập
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 17
Vô hiệu hóa giao diện người dùngcho các thiết lập Group Policy đượcquản lý
Không gây ra các ứng dụng hoặc hệđiều hành để vô hiệu hóa giao diệnngười dùng cho các thiết lập cấu hình
Làm mới thiết lập chính sách tạimột khoảng thời thường xuyên
Làm mới thiết lập chính sách cùngkhoảng thời gian như các thiết lậpGroup Policy mặc định
Các tính năng của Group PolicyPreferences
Targeting FeaturesCommon Tab
Được sử dụng để cấu hình các tùy chọnbổ sung để điều khiển hoạt động của 1Group Policy preference
Xác định để người dùng và máy tínhđược áp dụng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 18
Triển khai Group Policy Preferences
Windows Server 2008 đã bao gồm Group Policy preferences.Mặc định như 1 phần của GPMC Windows Server 2008 đã bao gồm Group Policy preferences.Mặc định như 1 phần của GPMC
Group Policy preferences Client side extension (CSE) phải được triển khai tớibất kỳ các máy trạm nào bạn muốn ưu tiên triển khai
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 19
Các kịch bản cho Group PolicyTroubleshooting
Các kịch bản yêu cầu khi khắc phục sự cố
Chính sách được áp dụng, nhưng các thiết lập không phù hợp
Không áp đặt các chính sách
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 20
Chuẩn bị cho việc khắc phục sự cốGroup Policy
Các bước khắc phục sự cố đơn giản:
Đảm bảo rằng DNS đang hoạt động bằng cách sử dụng nslookup
Thực hiện các kiểm tra cơ bản để kiểm tra kết nối mạng: sử dụng cáccông cụ như netdiag hoặc ping
Kiểm tra Event Viewer
Kiểm tra domain controller đang hoạt động và có thể truy cập: Sử dụnglệnh dcdiag hoặc công cụ Kerbtray
Use Group Policy Results để biết rằng các chính sách đang được áp dụng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 21
Các công cụ để khắc phục sự cốGroup Policy
Một số công cụ để khắc phục sự cố GroupPolicy:
Group Policy reporting – RSoP GPResult Gpotool• Gpupdate• Dcgpofix• GPOLogView• Group Policy log files• Group Policy Management Scripts
Group Policy reporting – RSoP GPResult Gpotool• Gpupdate• Dcgpofix• GPOLogView• Group Policy log files• Group Policy Management Scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 22
Khắc phục sự cố thừa kế Group Policy
Production
Domain
GPOs
Ngăn chặn thừa kế chính sáchtừ việc áp dụng toàn bộ subtrees OU
Sales
No GPOsettings apply
No GPOsettings apply
Ngăn chặn thừa kế chính sáchtừ việc áp dụng toàn bộ subtrees OU
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 23
Khắc phục sự cố khi lọc Group Policy
Production
Domain
GPO
WMIfilter
Lọc Group Policy có thểchỉ ảnh hưởng đến mộtsố người dùng và máytính trong OU.
Sales
Mengph
Kimyo
Group ApplyGroup Policy
ApplyGroup Policy
Deny
Read andApply
Group Policy
Read andApply
Group PolicyAllow
Lọc Group Policy có thểchỉ ảnh hưởng đến mộtsố người dùng và máytính trong OU.
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 24
Khắc phục sự cố khi đồng bộGroup Policy
• Group Policy objects bao gồm các mẫu Group Policyvà Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộngvà đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllerskhông có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quántrên tất cả các domain controllers
GPTGPT
GPCGPC
• Group Policy objects bao gồm các mẫu Group Policyvà Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộngvà đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllerskhông có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quántrên tất cả các domain controllers
DC1 DC2GPO1
Version 3
GPO1
Version 2
AD DS Replication
File Replication ServiceGPTGPT
GPCGPC
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 25
Khắc phục sự cố khi làm mới GroupPolicy
Nếu Group Policy không được làm mới:
• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính
đã khởi động lại hay chưa?• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể
làm chậm hiệu ứng của Group Policy• Kiểm tra lại chính sách vòng lặp
• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính
đã khởi động lại hay chưa?• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể
làm chậm hiệu ứng của Group Policy• Kiểm tra lại chính sách vòng lặp
Sử dụng GPUpdate để:
• Làm mới các thiết lập chính sách đã được cập nhật thủ 1 cáchthủ công
• Bắt buộc làm mới tất cả các thiết lập Group Policy• Nếu có yêu cầu làm mới lại các thiết lập thì bắt buộc phải đăng
xuất hoặc khởi động lại máy tính
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 26
Khắc phục sự cố thiết lậpAdministrative Template Policy
Khi xử lý sự cố Administrative Templates,chúng ta phải xem xét:
Administrative Templates là các chính sách đúng hoặc được ưu tiên
Các thiết lập là chính sách đúng đã được dành riêng khi các chínhsách đó không được áp dụng
Các thiết lập ưu tiên vẫn được có hiệu lực cho đến khi bịthay đổi
Các thiết lập là chính sách đúng đã được dành riêng khi các chínhsách đó không được áp dụng
Xác định hệ điều hành và các service pack khi các máy tính đượcchấp nhận các thiết lập.
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 27
Khắc phục sự cố các thiết lậpScript Policy
Khi khắc phục sự cố thiết lập script policy,xem xét các vấn đề sau:
Xác nhập Scripts
Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts
Đảm bảo rằng Group Policy đã được cấu hình đúng
Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts
Đảm bảo rằng script được sao lưu đúng cách
Sử dụng các công cụ Group Policy để đảm bảo Group Policyđược áp dụng đúng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 28
Tổng kết bài học
Khái niệm và cách cấu hình các thiết lập Group Policy,Scripts và Folder RedirectionKhái niệm và cấu hình Administrative TemplatesCơ chế Software Distribution và các tùy chọnGroup Policy Preferences so với Group Policy settingsCác công cụ hỗ trợ khắc phục sự cố Group policy: thừakế, lọc, đồng bộ, làm mới...
Khái niệm và cách cấu hình các thiết lập Group Policy,Scripts và Folder RedirectionKhái niệm và cấu hình Administrative TemplatesCơ chế Software Distribution và các tùy chọnGroup Policy Preferences so với Group Policy settingsCác công cụ hỗ trợ khắc phục sự cố Group policy: thừakế, lọc, đồng bộ, làm mới...
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 29