INSTALLING AND CONFIGURING WINDOWS SERVER 2016 (Part 08)

VIII. GROUP POLICY MANAGEMENT

CÁC BƯỚC TRIỂN KHAI

1. Tạo và link Policy vào OU

2. Block Inheritance cho OU

3. Enforce Policy

4. Chỉnh order cho Policy

5. Security Filtering

6. Xem các setting của policy

7. Modeling Wizard

8. Item Level Targetting

9. Disable một phần của policy

10. Khảo sát nơi chứa policy templates

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01 : Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

+ PC02 : Windows 8.1 – Join Domain

– PC01 :

* Chỉnh Policy password đơn giản

* Chỉnh Policy cho phép group Users có quyền log on locally

* Tạo OU Cha. Trong OU Cha, tạo OU Con

* Trong OU Cha tạo user u1, u2. Trong OU Con tạo user u3, u4

* Trong Domain Nhatnghe.local tạo group TEST, add 2 user u1 và u3 vào group


B- THỰC HIỆN

1. Tạo và link Policy vào OU (Thực hiện trên máy PC01)

– Mở Server Manager -> vào menu Tools -> Group Policy Management

clip_image002

– Bung Forest -> Domains -> NHATNGHE.LOCAL -> Chuột phải vào Group Policy Objects -> chọn New.

clip_image004

– Đặt tên cho GPO ở khung name “Ẩn Control Panel” -> OK

clip_image005

– Chuột phải vào GPO “Ẩn Control Panel” vừa tạo, chọn Edit

clip_image007

– Bung mục User Configuration -> Policies -> Administrative Templates -> Control Panel, chuột phải vào Prohibit access to the Control Panel and PC settings, chọn Edit.

clip_image009

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor

clip_image011

– Quay trở lại màn hình Group Policy Management, chuột phải vào OU Cha, chọn Link an Existing GPO…

clip_image013

– Chọn GPO “Ẩn Control Panel” -> OK

clip_image014

– Quan sát thấy GPO “Ẩn Control Panel” đã được link vào OU Cha

clip_image016

– Kiểm tra: Trên PC02, log on lần lượt vào các user u1, u2, u3, u4 -> Bị mất Control Panel

2. Block Inheritance cho OU (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào OU Con, chọn Block Inheritance

clip_image018

– Quan sát OU Con, thấy có biểu tượng dấu chấm thang

clip_image020

– Kiểm tra: Trên máy PC02, lần lượt log on user u3, u4 -> sẽ thấy có Control Panel

3. Enforce Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào GPO “Ẩn Control Panel”, chọn Enforced

clip_image022

– Trên máy PC02, log on user u3, u4 -> sẽ thấy bị mất Control Panel


4. Chỉnh order cho Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, tắt Enforce Policy và Block Inheritance trên OU Cha và OU Con.

– Tạo thêm GPO “Hiện Control Panel”, link GPO này vào OU Cha. Như vậy lúc này OU Cha có 2 GPO “Ẩn Control Panel” và “Hiện Control Panel”.

clip_image024

– Nhấn vào OU Cha, ở góc trái dùng 2 biểu tượng mũi tên Move Up và Move Down, di chuyển GPO “Hiện Control Panel” lên vị trí đầu tiên.

clip_image026

– Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedence càng nhỏ thì độ ưu tiên của GPO càng cao.

clip_image028

– Kiểm tra: Trên máy PC02, log on user u3, u4 -> sẽ thấy Control Panel

Nhận xét:

* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn

5. Security Filtering (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuyển policy “Ẩn Control Panel” lên Link Order bằng 1

– Chọn GPO“Ẩn Control Panel”, bên dưới mục Security Filtering, chọn vào group Authenticated Users -> Remove -> OK

clip_image030

– Quay trở lại màn hình Security Filtering, chọn Add -> Add Group Test vào -> OK

clip_image032

– Kiểm tra: Trên máy PC02:

+ Log on user U1, U3 -> mất Control Panel

+ Log on user U2, U4 -> hiện Control Panel

6. Xem các Setting của GPO (Thực hiện trên máy PC01)

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”, qua tab Settings -> Add -> Add -> Close -> Quan sát các thiết lập được tạo ra trên GPO

clip_image034


7. Modeling Wizards (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Group Policy Modeling, chọn Group Polciy Modeling Wizard…

clip_image036

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình User and Computer Selection -> Để xem OU Cha bị áp policy gì, trong 2 phần User Information và Computer Information, chọn Browse đến OU Cha -> Next

clip_image038

– Màn hình Advanced Simulation Options -> Chọn Default-First-Site-Name -> Next

clip_image040

– Màn hình Computer Security Groups, chọn Authenticated Users -> Next

clip_image042

– Các bước còn lại cài đặt theo mặc định -> Màn hình Completing…-> Finish

clip_image043

– Quan sát thấy bảng báo cáo chi tiết về các Policy được áp lên OU Cha

clip_image045

8. Item Level Targeting (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Default Domain Policy, chọn Edit…

clip_image046

– Bung mục User Configuration -> Preferences -> Control Panel Settings, chuột phải vào Folder Options, chọn New -> Folder Options (at least Windows Vista)

clip_image048

– Mục Hidden files and folders, chọn Show hidden files and folders. Tắt dấu check ở 2 mục:

+ Hide extensions for known file types

+ Hide protected operating system files (Recommended)

-> OK

clip_image049

– Ở khung bên phải -> Chuột phải vào Folder Options -> Properties

clip_image051

– Qua tab Common, đánh dấu check vào mục Item-level targeting -> chọn Targeting…

clip_image052

– Tại màn hình Targeting Editor -> Chọn New Item -> User

clip_image054

– Trong mục User -> Browse -> Add User u4 -> OK -> OK -> OK

clip_image056

– Kiểm tra: Trên máy PC02

+ Log on user u4 -> Mở File Explorer, kiểm tra thấy các file ẩn xuất hiện và hiển thị đuôi

file.

+ Log on user u3 -> Mở File Explorer, không thấy các file ẩn.

9. Disable một phần của policy

Đôi khi ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, ta nên tắt những phần không dùng đến.

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel” -> Details , ở mục GPO Status, chọn Computer Configuration settings disabled -> OK

clip_image058


10. Khảo sát nơi chứa policy templates

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”. Qua tab Details, chú ý dòng Unique ID

clip_image060

– Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\nhatnghe.local\Policies, sẽ thấy có thư mục giống Unique ID của policy “Ẩn Control Panel”

clip_image061

– Mở thư mục trùng với Unique ID -> User -> sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này.

clip_image062

– Mở file Registry.pol bằng Notepad quan sát nội dung bên trong