TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN – ĐHQG TP.

HCM
KHOA ĐIỆN TỬ - VIỄN THÔNG
Chuyên ngành: Viễn thông – Mạng
----»¤«----

BÁO CÁO ĐỒ ÁN

CÔNG NGHỆ MẠNG

Topic 4: Domain Group;
Group Policy Infrastructure, settings and management.

GVHD: Th.S Trần Thị Huỳnh Vân

Nhóm thực hiện: 13
1. 18200079 - Phạm Đỗ Thành Đạt
2. 18200091 - Trần Văn Hải
3. 18200093 - Trần Ngọc Hồng Hạnh
4. 18200097 - Bùi Văn Hậu
5. 18200099 - Nguyễn Thị Hậu
6. 18200103 - Nguyễn Phùng Hiếu

Tp.HCM, ngày 01 tháng 11 năm 2021

Lời mở đầu
Trong thời đại Khoa Học - Công Nghệ đang phát triển nhanh hiện nay, công nghệ mạng cũng có những
bước tiến vượt bậc. Với sự ra đời của nhiều công nghệ ngày càng hiện đại, đáp ứng nhu cầu ngày càng
cao của người dùng cũng như sự phát triển của các ngành Khoa Học-Kĩ Thuật khác.
Trong số các công nghệ hiện tại, nhóm chúng em đã chọn đề tài có tính thực tế được ứng dụng trong
trong các doanh nghiệp. Đây là mô hình hệ thống mạng giúp việc quản lý người dùng thuận tiện cho
các doanh nghiệp theo những cách khác nhau.
Trong bài báo cáo này, chúng em sẽ đi từ tổng quan đến chi tiết về mô hình hệ thống này, bao gồm
tổng quan, giới thiệu, cấu trúc, công dụng, những ưu nhược điểm và ứng dụng của mô hình hệ thống
này.
Bài báo cáo này gồm 3 phần: Phần 1 Domain Group, phần 2: Group Policy Infrastructure, Settings
and Management và phần 3 Demo.
Trong quá trình tìm hiểu, do kiến thức còn hạn chế và thời gian gấp rút, có thể có những sai sót, kính
mong sự góp ý của cô và các bạn để bài báo cáo được hoàn thiện hơn Nhóm chúng em xin chân thành
cảm hơn cô Trần Thị Huỳnh Vân, giảng viên môn Công Nghệ Mạng đã tận tình giảng dạy, chỉ dẫn
chúng em, giúp chúng em hoàn thành bài báo cáo.

Tp. Hồ Chí Minh, ngày 01 tháng 11 năm 2021

 Mục Lục
Lời mở đầu
A. Domain Group ........................................................................ 4
I. Mô hình hệ thống mạng ........................................................................................................ 4
II. Tổng quan về AD .................................................................................................................. 5
1. Giới thiệu Active Directory ........................................................................................... 5
2. Cấu trúc của Active Directory ...................................................................................... 5
III. Domain Controllers: ......................................................................................................... 7
1. Tổng quan về Domain Controller ................................................................................. 7
2. Phân loại và ưu khuyết điểm ......................................................................................... 7
3. Cách sử dụng và vai trò, chức năng ............................................................................. 8

B. Group Policy Infrastructure, settings and management ....... 10

I. Group Policy: ....................................................................................................................... 10
1. Tổng quát về Group Policy: ........................................................................................ 10
2. Chức năng của Group Policy: ..................................................................................... 10
3. Group Policy Object và một số thành phần trong Group Policy Object: ............... 10
4. Nhân rộng Group Policy: ............................................................................................ 11
5. Tạo, chỉnh sửa và liên kết các GPOs .......................................................................... 11
6. Tính kế thừa GPO: ....................................................................................................... 12
II. Thiết lập và quản lý ............................................................................................................. 13
1. Cấu hình Domain Controller ...................................................................................... 13
2. Tạo OU .......................................................................................................................... 22
3. Tạo tài khoản người dùng ........................................................................................... 24
4. Tạo GPO........................................................................................................................ 26

C. Demo ................................................................................... 28
D. Đánh giá thành viên ............................................................. 32
E. Tài liệu tham khảo ................................................................ 33
 A. Domain Group
I. Mô hình hệ thống mạng
Một hệ thống mạng thường được xây dựng trên mô hình phổ biến đó là: Workgroup hoặc Domain.
• Mô hình Workgroup:
- Là một nhóm máy tính logic, mô hình quản trị và
bảo mật phi tập trungòn gọi là mô hình mạng Peer-
To-Peer, là mô hình mà trong đó các máy tính có vai
trò bình đẳng như nhau được nối kết với nhau.
- Các dữ liệu và tài nguyên được lưu trữ phân tán tại
các máy cục bộ, các máy tự quản lý tài nguyên cục
bộ (tài khoản, thông tin bảo mật…) của mình, tự
chứng thực trên máy cục bộ.
- Trong hệ thống mạng không có máy tính chuyên
cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình
này chỉ phù hợp với các mạng nhỏ và yêu cầu bảo
mật không cao ví dụ như hệ thống mạng ở gia đình,
mạng phòng net, mạng của các công ty nhỏ đơn
giản…
- Xác thực được cung cấp bởi cơ sở dữ liệu tài khoản
cục bộ - Trình quản lý tài khoản bảo mật (SAM)
• Thuận lợi
+ Tài nguyên dễ chia sẻ (printers, folders)
+ Tài nguyên được phân phối trên tất cả các máy
+ Chi phí quản lý ít, thiết kế đơn giản, dễ thực hiện
+ Thuận tiện cho các nhóm nhỏ ở gần
+ Không yêu cầu máy chủ trung tâm hoặc thiết bị
mạng công suất lớn (bộ định tuyến, bộ chuyển
mạch, cầu nối..)
• Hạn chế
+ Không kiểm soát tập trung các nguồn lực
+ Người dùng tự quản lý tài khoản của mình => vấn
đề bảo mật
• Mô hình Domain:
- Hoạt động theo cơ chế Client-Server, trong hệ thống
mạng phải có ít nhất một máy tính làm chức năng điều
khiển vùng (Domain Controller), các máy tính kết nối
với nhau thông qua máy chủ chính này.
- Domain Controller này sẽ điều khiển toàn bộ hoạt
động của hệ thống mạng với sự giúp đỡ của dịch vụ
Active Directory được xem là quan trọng nhất trong
máy chủ Domain Controller.
- Mô hình này tập trung tất cả các tài nguyên được chia
sẻ, xác thực và quản trị nên được áp dụng cho các công
ty vừa và lớn đòi hỏi cao về bảo mật.
- Xác thực được cung cấp thông qua Active Directory
tập trung
- Hỗ trợ Single-Sign-On
• Thuận lợi
+ Chia sẻ tài nguyên tập trung, dễ kiểm soát, triển khai
phần mềm Chia sẻ tài nguyên giữa các máy khách dễ
dàng hơn
+ Hiệu suất hiệu quả cho số lượng máy trạm hầu như
không giới hạn
+ Có sự phân cấp máy tính: dễ dàng quản lý quyền của
người dùng ở mỗi cấp với mỗi mục đích khác nhau.
+ Có khả năng mở rộng
Bảo mật cao
• Hạn chế
+ Nỗ lực hành chính đáng kể
+ Thiết kế phức tạp, yêu cầu máy chủ mạnh và đắt tiền
+ Không có khả năng mở rộng rất cao, không hiệu
quả cho hơn 20 máy trạm
+ Bảo mật phải được cấu hình thủ công
=> So với workgroup, AD có các ưu điểm:
+ Quản lý tập trung + Group policy
+ Bảo mật dữ liệu + Khả năng dự phòng, bảo mật thông tin
+ Ủy quyền quản trị + Hiệu suất và khả năng mở rộng
II. Tổng quan về AD
1. Giới thiệu Active Directory
Active Directory (AD) có các tính năng mới, giúp cho bộ điều khiển miền trở nên nhanh hơn và dễ
triển khai hơn, linh hoạt hơn, cả để kiểm tra và cho phép truy cập vào tệp. Đó là dịch vụ directory
trong hệ thống Windows Server có trách nhiệm:
• Xác định nguồn tài nguyên mạng
• Cung cấp 1 cách phù hợp về: tên, mô tả, vị trí, truy cập, quản lý bảo mật
• Lợi ích:
- Tích hợp DNS
- Khả năng mở rộng < Scalability> : AD được tổ chức thành các phần cho phép lưu trữ một số
lượng rất lớn các đối tượng. Do đó, AD có thể mở rộng khi tổ chức phát triển.
- Quản trị tập trung <Centralized Management>
+ AD quản lý tập trung, cung cấp một cơ sở dữ liệu duy nhất về tài nguyên mạng dễ dàng tìm
kiếm và quản trị, cung cấp quản lý đăng nhập tập trung cho các tài nguyên: cho phép người dùng
đăng nhập một lần.
+ AD cho phép quản trị viên quản lý máy tính để bàn, dịch vụ mạng và ứng dụng được phân phối
từ một vị trí trung tâm với 1 giao diện quản lý phù hợp
+ AD cũng cung cấp điều khiển truy câp tâp trung đến tài nguyên mạng bằng việc cho phép người
sử dụng single sign-on để tăng sự truy cập đầy đủ đến tài nguyên thông qua AD
- Ủy quyền quản trị < Delegated administration >
+ Chỉ định quyền: Đối với các đơn vị tổ chức cụ thể cho các quản trị viên khác. Để sửa đổi các
thuộc tính cụ thể của một đối tượng trong một đơn vị tổ chức, để thực hiện cùng một nhiệm vụ
trong tất cả các đơn vị tổ chức
+ Giúp giảm trách nhiệm, công việc của quản trị ciên và tăng khả năng quản trị (tăng lượng quản
trị viên)
+ Tùy chỉnh Công cụ Quản trị để: Ánh xạ đến các tác vụ quản trị được ủy quyền, Đơn giản hóa
thiết kế giao diện
2. Cấu trúc của Active Directory
- Bao gồm 2 phần chính:
Logical Structure – Cấu trúc logic (luận lý)
Physical Structure – Cấu trúc vật lý
- Cấu trúc luận lý:
• Object: là các đối tượng được tạo ra trong Active Directory, ví dụ: user account, computer
account, group account.
• Organizational Unit (OU): là đơn vị nhỏ nhất trong hệ
thống Active Directory, nó được xem là một vật chứa các
đối tượng (Object) được dùng để sắp xếp các đối tượng
khác nhau phục vụ cho mục đích quản trị. Việc sử dụng
OU có hai công dụng chính sau:
Trao quyền kiếm soát một tập hợp các tài khoản người
dùng, máy tính hay các thiết bị mạng cho một nhóm người
hay một phụ tá quản trị viên nào đó (sub-administrator), từ
đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
Kiểm soát và khóa bớt một số chức năng trên các máy trạm
của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO).
• Domain: là thành phần chính trong cấu trúc luận lý của AD. Nó là phương tiện để qui định một
tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau
từ đó giúp cho việc quản lý các truy cập vào
các Server dễ dàng hơn. Domain đáp ứng
ba chức năng chính:
+ Đóng vai trò như một khu vực quản trị
các đối tượng, là một tập hợp các định nghĩa
quản trị cho các đối tượng chia sẻ như: có
chung một cơ sở dữ liệu thư mục, các chính
sách bảo mật, các quan hệ ủy quyền với các
domain khác.
+ Giúp chúng ta quản lý bảo mật các tài
nguyên chia sẻ.
+ Cung cấp các Server dự phòng làm chức
năng điều khiển vùng (domain controller),
đồng thời đảm bảo các thông tin trên các
Server này được đồng bộ với nhau.
• Domain Tree: là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình
cây. Domain tạo ra đầu tiên được gọi là domain root, nằm ở gốc của cây thư mục. Tất cả các
domain tạo ra sau sẽ nằm bên dưới domain root, gọi là domain con (child domain). Tên của các
domain con phải khác biệt nhau. Cần ít nhất 2 domain để tạo thành 1 domain tree.
• Forest: được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các
Domain Tree có thiết lập quan hệ và ủy quyền cho nhau.
 - Cấu trúc vật lý
• Sites: Thể hiện cấu trúc vật lý, kiến trúc mạng của doanh nghiệp, sử dụng để xây dựng mô hình

đồng bộ database của dịch vụ AD, là 1 trong 2 nơi AD lưu trữ thông tin về kiến trúc mạng, cùng
với WAN links
• Global catalog (GC): lưu trữ tất cả các object của miền chứa GC và một phần các object
thường được người dùng tìm kiếm của các domain khác trong forest. Global catalog server: là
một Domain Controller lưu trữ tất các AD object trong một forest
• Domain Controllers (DC): chứa bản copy của database AD. Đối với hầu hết các hoạt động
thì mỗi DC có thể xử lý các thay đổi và sao chép các thay đổi tới tất cả những DCkhác trong
domain.
III. Domain Controllers:
1. Tổng quan về Domain Controller
Domain controller (DC) là một server chịu trách nhiệm quản lý vấn đề bảo mật mạng và danh
tính, hoạt động như một người bảo vệ để xác thực ủy quyền user. Sau đó ủy quyền cho các tài
nguyên ở trong domain. Nó cũng hoạt động như một chính sách để xác thực danh tính người dùng
Windows cho các hệ thống Windows-based, ứng dụng, file server và mạng.
DC sử dụng cơ chế đa máy chủ để nhân rộng quá trình sao chép dữ liệu từ một DC đến những máy
khác. Điều này có nghĩa là đối với hầu hết các hoạt động quản trị của quản trị viên, dữ liệu có thể
được chỉnh sửa trên các DC khác nhau, ngoại trừ những RODC (Read-Only Domain
Controller hay miền chỉ đọc).
Trong mỗi DC bao gồm các thông tin với các Object (Users, Group, PC, …), chứa bản copy của
database AD DS. Một DC chỉ hỗ trợ 1 Domain. Các máy chủ không phải Domain controller được
gọi là Member server.
Đối với hầu hết các hoạt động thì mỗi DC có thể xử lý các thay đổi và sao chép các thay đổi tới
tất cả những Domain Controller khác trong domain. Để Domain có tính sẵn sàng cao có thể sử
dụng nhiều DC.
2. Phân loại và ưu khuyết điểm
 • Phân loại:
- Primary Domain Controller (PDC): Thông tin bảo mật và tài nguyên của Domain được lưu trữ
trong thư mục chính (Windows server).
- Backup Domain Controller (BDC): Một BDC mới có thể được đẩy lên PDC khi PDC đó bị lỗi.
BDC còn có khả năng cân bằng khối lượng công việc lúc mạng bị nghẽn.
• Lợi ích của bộ điều khiển miền
- Quản lý người dùng tập trung
- Cho phép chia sẻ tài nguyên cho tệp và máy in
- Cấu hình liên kết để dự phòng (FSMO)
- Có thể được phân phối và nhân rộng trên các mạng lớn
- Mã hóa dữ liệu người dùng
- Có thể được làm cứng và khóa lại để cải thiện bảo mật
• Hạn chế của Bộ điều khiển miền
- Mục tiêu tấn công mạng
- Có khả năng bị tấn công
- Người dùng và hệ điều hành phải được duy trì để ổn định, bảo mật và cập nhật
- Mạng phụ thuộc vào thời gian hoạt động của DC
- Yêu cầu về phần cứng / phần mềm
3. Cách sử dụng và vai trò, chức năng
• Nguyên lý: Toàn bộ Request của User sẽ được chuyển đến DC để được xác thực và ủy quyền.
Trước khi truy cập theo Request tương ứng thì người dùng cần xác nhận danh tính bằng cách
dùng Username và Password của mình. Trong hầu hết phòng máy chủ của các tổ chức, Domain
Controller được sử dụng và chiếm vị trí quan trọng. Nó được tích hợp và trở thành thành phần cơ
bản của các dịch vụ Active Directory.
• Vai trò:
- DC chứa dữ liệu xác định và xác thực quyền truy cập của người dùng trên mạng, bao gồm mọi
chính sách nhóm và tất cả các tên máy tính. Khi người dùng đăng nhập vào miền của họ, DC sẽ
kiểm tra tên người dùng, mật khẩu và các thông tin đăng nhập khác của họ để cho phép hoặc từ
chối quyền truy cập cho người dùng đó. Mọi thứ mà kẻ tấn công có thể cần để gây ra thiệt hại lớn
cho dữ liệu và mạng của bạn đều nằm trên DC, điều này khiến DC trở thành mục tiêu chính trong
một cuộc tấn công mạng
- DC đóng vai trò quan trọng và là một giải pháp hữu hiệu nhằm kiểm soát quyền truy cập vào các
tài nguyên trong một Domain. DC thường được dành cho các IT Admin. Tại phòng máy chủ của
các tổ chức, DC được tích hợp giống như các dịch vụ AD.
• Các bước triển khai một mô hình Domain Controller
Bước 1: Tiến hành đặt IP tĩnh cho máy được lựa chọn làm Domain Controller.
Bước 2: Xây dựng Domain Controller trên máy Server đã được chọn làm Domain Controller.
Bước 3: Tạo user trong Domain Controller cho các máy Client.
Bước 4: Đặt địa chỉ IP và Join các Client vào Domain.
 Bước 5: Đăng nhập máy Client sau đó kiểm tra Domain Controller.
• Chức năng
- Global Catalog Servers (GCS): DC có nhiệm vụ lưu trữ các đối tượng cho domain mà chúng
được cài đặt. Hệ thống này được chỉ định để làm Global Catalog Servers lưu trữ các đối
tượng từ những domain trong forest.
- Operations Masters: DC thực hiện các chức năng cụ thể nhằm đảm bảo tính thống nhất cho
hệ thống. Đồng thời chúng còn có tác dụng loại bỏ khả năng xung đột của các entry bên
trong cơ sở dữ liệu AD.
B. Group Policy Infrastructure, settings and
management
I. Group Policy:
1. Tổng quát về Group Policy:
- Group Policy (GP) là một tập hợp các cài đặt có thể áp dụng lên máy tính hoặc người dùng.
- GP giúp quản trị viên quản lý tập trung máy tính và người dùng, dùng để triển khai phát phần
mềm.
 Ủy quyền kiểm soát cho người dùng hoặc một nhóm khác.
- GP được đặt cho một trang web, miền, một đơn vị tổ chức hoặc máy tính cục bộ.
- Không thể đặt GP cho vùng chưa thư mục không phải OU:
o OU là một đối tượng trong Active Directore, là nơi chứa các đối tượng Active Directory như
user, computer và group. Dùng ủy quyền quản trị, dùng áp dụng các chính sách.
- Khi GP được cập nhật, các chính sách cũ sẽ bị xóa hoặc cập nhật với toàn bộ khách hàng.
- Cài đặt GP được lưu trữ trong đối tượng chính sách nhóm.
- GP chứa cài đặt các chính sách để quản lý nhiều khía cạnh của bộ điều khiển miền, máy chủ thành
viên, máy thành viên và người dùng.
2. Chức năng của Group Policy:
Triển khai các phần mềm ứng dụng.
-
Gán các quyền hệ thống cho người dùng.
-
Giới hạn ứng dụng được phép thi hành.
-
Kiểm soát các thiết lập hệ thống, các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy.
-
Đơn giản hóa và hạn chế các chương trình….
-
3. Group Policy Object và một số thành phần trong Group Policy Object:
- Group Policy Object (GPO) là một nhóm cấu hình nhiều GP
- Một số thành phần trong GPO: gồm 2 thành phần chính :
+ Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ máy tính trong
mạng.
+ User Configuration: cấu hình chính sách cho các tài khoản trong miền.
+ Và một số thành phần con như:
• Software Settings: chính sách triển khai cài đặt phần mềm xuống client tự động.
• Windows Settings: tinh chỉnh, áp dụng chính sách về vấn đề sử dụng tài khoản.
• Script( Logon/ Logout): chỉ định cho Windows chạy một đoạn mã nào đó.
• Name Resolution Policy: chính sách phân giải tên.
• Local Policy: kiểm định những chính sách, những tùy chọn quyền lời và chính sách an toàn
cho người dùng cục bộ.
• Account Policies: các chính sách áp dụng trong tài khoản người dùng.
• Public Key Policies: các chính sách khóa dùng chung.
- Gồm hai loại chính:
a. Local GPOs:
 - Local GPOs được lưu trữ trên máy tính cục bộ và được chỉnh sửa thông qua phần đính vào trình
chỉnh sửa đối tượng chính sách nhóm.
- Không thể thay đổi cài đặt trong Local GPOs, các cài đặt chưa xác định được hoặc không được
định cấu hình theo miền GPOs có thể chỉnh sửa cục bộ.
- Được lưu trữ tại systemroot system32 Group policy.
b. Domain GPOs:
- Domain GPOs được lưu trữ trong Active Directory trên domain controller: được liên kết với
các trang web, miền hoặc OUs
- Bao gồm hai phần riêng biệt:
• Mẫu chính sách nhóm ( GPT ):
+ Chứa tất cả các cài đặt chính sách tạo nên GPO cũng như các tệp liên quan.
+ Mỗi GPT chứa ít nhất 3 mục GPT.ini.
+ Chứa các cài đặt mặc định GPO mới.
+ Đường dẫn đến cấu trúc GPT mặc định cho mỗi miền
• Vùng chứa chính sách nhóm ( GPC ):
+ Bao gồm vùng chứa con chứa thông tin trạng thái và thuộc tính GPO nhưng không có cài
đặt chính sách .
+ Hai GPOs, tương ứng với hai GPOs mặc định: chính sách miền mặc định và bộ điều khiển
mặc định
+ Mỗi GPC có hai vùng chứa phụ- một vùng chứa thông tin cấu hình máy tính và một vùng
khác dành cho người dùng thông tin cấu hình.
+ Thông tin trong PGC: Tên của GPO, Đường dẫn tệp đến C-PI, Phiên bản, Trạng thái
4. Nhân rộng Group Policy:
- Đảm bảo rằng tất cả bộ điều khiển domain đều có bản sao của GPO ở thời điểm hiện tại.
- GPC được sao chép với AD.
- GPT: được sao chép bằng các phương pháp sau:
+ Dịch vụ nhân bản tệp FRS (File Replication Service)
+ Được sử dụng khi chạy trong môi trường hỗn hợp của các hệ điều hành Windows Sever khác
nhau.
+ Sao chép hệ thống tệp phân tán DFSR (Distributed File System Replication)
+ Được sử dụng khi tất cả DC chạy trong Windows Sever 2008
- DFSR hiệu quả hơn và đáng tin cậy hơn.
- Sự cố sao chép có thể được chuẩn đoán bằng Gpotool.exe.
5. Tạo, chỉnh sửa và liên kết các GPOs
+ Software Settings: các tùy chọn cài đặt phần mềm cho các ứng dụng và phần mềm cụ thể có
thể được được cài đặt trên máy tính. Quản trị viên có thể sử dụng các cài đặt này để cung cấp
các ứng dụng mới cho người dùng cuối và kiểm soát cấu hình mặc định cho những ứng dụng
này.
+ Windows Settings: cho phép quản trị viên hệ thống tùy chỉnh hoạt động của hệ điều hành
Windows, các tùy chọn cụ thể có thể sẵn ở đây được chia thành 2 loại: người dùng và máy tính.
Cài đặt dành riêng cho người dùng cho phép bạn định cấu hình Explorer ( bao gồm trang chủ
 mặc định và các cài đặt khác). Cài đặt của máy tính bao gồm các tùy chọn bảo mật như là chính
sách tài khoản và nhật ký sự kiện.
+ Administrative Templates: được sử dụng để cấu hình thêm cài đặt máy tính và người dùng.
Ngoài các tùy chọn mặc định có sẵn, quản trị viên hệ thống có thể tạo ra các mẫu quản trị iên
của họ bởi các tùy chỉnh.
+ Group Policy Preferences: hệ điều hành Windows Sever 2016 bao gồm nhóm tùy chỉnh chính
sách (GPP), cung cấp cho bạn hơn 20 tiện ích mở rộng của chính sách nhóm. Ngược lại, phần
mở rộng sẽ cung cấp cho bạn một loạt các cài đặ có thể định cấu hình trong chính sách nhóm.
Bao gồm các tiện ích mở rộng tùy chọn chính sách nhóm chính là cài đặt cho thư mục tùy chọn,
ổ đĩa được ánh xạ, máy in, sổ đăng ký, người dùng cục bộ và nhóm, tác vụ đã lên lịch, dịch vụ
và menu bắt đầu.
- Chỉnh sửa GPOs: Để chỉnh sửa thì ta nhấp chuột phải vào GPOs trong GPMC và nhấp vào chỉnh
sửa , thao tác này sẽ mở ra GPO trong GPMT. Có thể thực hiện thay đổi đối với chính sách miền
mặc định nhưng điều này là không nên. Phương pháp được đề xuất để thực hiện đối với chính sách
miền là tạo ra một GPO mới và liên kết nó với miền. GPOs được áp dụng cho các đối tượng ngược
lại với thứ tự được chỉ định.
- Nếu chỉnh sửa GPO đã được liên kết với vùng chứa, các thay đổi trong chính sách sẽ có hiệu lực
ngay khi khách hàng tải xuống.
- Trước khi thay đổi nhiều chính sách thì hãy kiểm tra chúng 1 cách riêng lẻ.
- Phạm vi chính sách nhóm xác định đối tượng nào trong AD bị ảnh hưởng bởi cài đặt trong chính
sách.
- Nếu GPO được áp dụng cho một đối tượng và một cài đặt được định cấu hình trên một GPO chứ
không phải đối tượng khác, thì cài đặt đã được định cấu hình sẽ được áp dụng.
- Các chính sách sẽ được dụng theo thứ tự này :
+Chính sách địa phương
+GPOs liên kết trang web:
+ GPO được liên kết với một đối tượng trang ảnh hưởng đến tất các người dùng và máy tính.
• Có thể sử dụng để thiết lập các chính khác nhau cho người dùng di động.
• Trong môi trường miền và trang web số ít , tốt hơn là sử dụng GPO.
+ GPO của trang web này gây nhầm lẫn cho người dùng di động về thay đổi chính sách đủ quyết
liệt giữa các trang web.
o GPOs liên kết miền:
+ Chứa các cài đặt áp dụng cho tất cả các đối tượng trong miền.
+ Chính sách tài khoản chỉ có thể áp dụng tại miền.
o GPOs liên kết OU:
+ Việc điều chỉnh các chính sách nhóm nên được thực hiện ở cấp OU.
+ Người dùng và máy tính có yêu cầu chính sách tương tự phải được đặt trong cùng một OU
+ Vì các OU có thể được lồng vào nhau nên GPOs cũng vậy. nên được sử dụng cho các trường
hơp ngoại lệ đối với các chính sách được đặt ở cấp cao hơn.
6. Tính kế thừa GPO:
- Kế thừa GPO được bật theo mặc định, áp dụng từ container cha đến các container con trong một
domain. Nhưng các domain con thì lại không kế thừa GP từ domain cha
- Cách thiết lập chính sách ở OU cha:
+ Nếu OU con có chính sách đó rồi thì sẽ được ghi đè lên OU cha
+ Nếu OU con chưa có chính sách đó thì sẽ được kế thừa từ OU cha
- Một số cách ảnh hưởng đến việc kế thừa GPO :
+ Chặn sự kế thừa: ngăn chặn GPO được liên kết với vùng chứa mẹ để không ảnh hưởng đến vùng
chứa con.Để chặn thừa kế GPO, trong GPMC, nhấp chuột phải vào miền con hoặc OU và click
vào Block Inheritance. Nếu chặn được bật, đơn vị tổ chức hoặc đối tượng miền sẽ được hiển thị
với dấu chấm than màu xanh lam.
+ Thực thi kế thừa GPO: Một liên kết GPO có thể đặt thành bắt buộc. Để thực thi kế thừa GPO,
nhấn chuột phải vào liên kết GPO trong cây bảng điều khiển , sau đó chọn tùy chọn bắt buộc. Buộc
kế thừa GPO ghi đè mọi cấu hình xung đột ở cấp OU con . Nếu nhiều GPO được thực thi, thì GPO
trong cấp cao nhất sẽ được thực thi trong một xung đột.
+ Lọc GPO cho phép thay đổi kế thừa trên một đối tượng theo một đối tượng nền tảng. Có hai
loại lọc GPO:
▪ Lọc bảo mật : sử dụng quyền hạn chế đối tượng, chỉ định quyền mặc định để một số người
dùng hoặc máy tính nhất định nhận được cho GPO.
▪ Lọc công cụ quản lý của Window (WMI): cho phép xác định động phạm vi của GPO dựa trên
thuộc tính của mục tiêu máy vi tính. Sau đó áp dụng hoặc không áp dụng các chính sách dựa trên
kết quả truy vấn. Nếu WMI đánh giá sai, GPO sẽ không được áp dụng và ngược lại. WMI và
GPO khi được liên kết phải cùng một miền.
+ Xử lý vòng lặp cung cấp một phương pháp thay thế để lấy danh sách các GPO có thứ tự sẽ
được xử lý cho người dùng. Khi bật thì có hai sự lựa chọn đó là: hợp nhất và thay thế. Thông
thường, các chính sách ảnh hưởng đến cài đặt người dùng đối với bất kì máy tính nà mà họ đăng
nhập. Nó cho phép các cài đặt trong nút cấu hình người dùng của GPO được được áp dụng cho
tất cả người đăng nhập máy tính.
*** Một số chính sách nhóm 13 demo:
- Chặn Command prompt: vì Command prompt trên Windows cho phép bạn đưa ra những câu
lệnh để máy tính thực hiện lệnh đó và truy caaph hệ thống. Vì vậy rất dễ bị hacker xâm nhập.
Nên chúng ta phải chặn lệnh này.
- Đổi hình nền trong Group Policy: nếu như bạn đã quá chán ngẫm nền đen trong Group Policy,
thì hãy đổi nền với một vài bước cơ bản giống demo nhé.
- Để máy tính chào bạn mõi ngày lúc bạn đăng nhâp. Hãy tạo lời chào trên logon.
- Cài phần mềm: Group Policy cài đặt software để tải phần mềm tự động .

II. Thiết lập và quản lý

1. Cấu hình Domain Controller
 Đặt 1 địa chỉ tĩnh cho máy chủ và DNS
server là địa chỉ máy chủ

Chọn card mạng VMnet2 cho Server và client

Tại 2 client: tạo địa chỉ tĩnh và DNS

server trỏ về địa chỉ máy chủ
Ta cấu hình máy chủ của mình làm bộ điều khiển miền (DC) Active Directory trên mạng. DNS là
một phần không thể thiếu của Miền Active Directory và sẽ cần được thiết lập cũng như kiểm tra.
Đầu tiên để đảm bảo nó chạy đúng cách. Trong 1 miền thì sẽ có ít nhất hai DC được cài đặt để
điều khiển miền cho phép dự phòng và tiêp tục hoạt động ngay cả khi một trong các hệ thống
không hoạt động. Hệ thống thứ 2 sẽ tiếp tục xử lý thông tin đăng nhập của người dùng và yêu cầu
DNS, tiếp tục áp dụng chính sách nhóm và duy trì môi trường AD.

Ta click chọn “add roles and features” hoặc vào phần Manage
Chọn Role-based or feature – based installation => next
Chọn Select a server from the server pool => Next

Chọn Active Directory Domain Services => Next. Chọn vai trò cần thiết cho máy chủ
Các tính năng cần thiết
cho Active Directory như
hình => add features
Chọn NET Framework
3.5 và Group Policy
Management => Next
Chọn NET Framework 3.5 và Group Policy Management => Next
Nếu muốn đồng bộ dữ liệu của máy chủ Window Server lên dữ liệu đám mây ta cần tài khoản Azure

Sau khi hoàn thành cài đặt bạn sẽ bổ sung các yêu cầu và nhấn vào Promote this server to a
domain controller.
Chọn Add a new forest để thêm Domain Controller đầu tiên hoặc add to an existing forest thêm
miền bổ sung sau đó chọn Next
Forest functional Level và Domain functional Level: tùy theo hệ thống của bạn đang sử dụng các
phiên bản Windows Server nào thì ta chọn cho tương ứng. Chọn vào ô Domain Name System (DNS)
server để cài đặt thêm DNS cho PDC. Bên dưới là mục Type the Directory Services Restore Mode
(DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ
Restore Mode.
Chọn Next

Tại đây bạn có thể đặt lại tên NetBIOS domain name hoặc sử dụng tên mặc định, sau đó click next.
Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của PAD, log files và SYSVOL.
click Next
Sau khi cài đặt hoàn tất, bạn phải khởi động lại máy tính để hoàn thành quá trình xây dựng Active
Directory Domain Services.

Sau khi máy tính đã khởi động lại, bạn nhấp chuột phải This PC => chọn Properties hoặc bạn dùng tổ
hợp phím Window + Break để xem thông tin domain đã được cập nhật.

Tại 2 máy client ta join vào domain

sau đó khởi động lại máy để máy join
vào domain

2. Tạo OU
Mở Active Directory Users and
Computers từ Server Manager
Tools Menu. Click chuột phải
vào Users chọn New =>
Organizational Unit sau đó đặt
tên OU rồi OK
3. Tạo tài khoản người dùng

Nhấp phải trên thư mục User => New => User.

Hộp thoại tạo tài khoản người dùng xuất hiện, nhập thông tin và nhấn Next
Tại hộp thoại kế tiếp, nhập thông tin về mật khẩu, nhấn Next. (với tùy chọn User must change
password at next logon thì người dùng sẽ phải thay đổi mật khẩu khi đăng nhập vào hệ thống lần kế
tiếp).Tại hộp thoại tiếp theo, nhấn Finish để hoàn tất việc tạo tài khoản người dùng.
Để thay đổi thuộc tính tài khoản: Start => Programs => Administrative Tools => Active
Directory User and Computers => chọn miền => Users

Click chuột phải lên tài khoản người dùng cần thay đổi thông tin, chọn Properties, chọn
tab Account.

Để thêm tài khoản người dùng vào nhóm chọn tab Member of và chọn Add để thêm thông nhóm
người dùng cho tài khoản
4. Tạo GPO

Vào Server Manager chọn Tools / Group Policy Management

Ở bảng console chọn Domain / itforvn.vcode.ovh / Hanoi / Phong_Ke_toan , click chuột phải chọn
Create a GPO in this domain and Link it here để tạo Group Policy cho OU con Phong_ke_toan trong
OU Hanoi
Đặt tên cho GPO

C. Demo
Click chuột phải vào link GPO ta vừa mới tạo và chọn Edit
Chọn mục User Configuration vì ta sẽ cấu hình đổi hình nền theo user chứ không chọn theo
Computer , để user đó log on bất cứ máy nào cũng được đổi hình nền . Chọn Policies /
Administrative Templates : Policy… / Desktop /Desktop

Click đúp vào Desktop wallpaper , chọn enable policy này lên . Ở Option mục Wallpaper name các
bạn nhập đường dẫn share file và tên ảnh như sau \\192.168.2.2\wallpaper\abc.jpg . Địa chỉ
192.168.2.2 là của con server DC mà chúng ta đã share file ảnh ra , lúc nãy mình có đổi tên file ảnh
là abc.jpg cho dễ nhớ để giờ các bạn nhập vào đây . Sau đó ấn Apply và OK
Sau đó các bạn bật CMD lên và gõ gpupdate /force để nó cập nhật chính sách cho các client . Đây là
bước bắt buộc sau khi cấu hình Group Policy xong

Cài đặt phần mềm cho client từ server:

Vào Network: gõ đường dẫn đến server để chọn file cần cài đặt
Nhấn assigned để cài
D. Đánh giá thành viên
1. BẢNG PHÂN CÔNG CÔNG VIỆC
Họ và tên Mssv Nội dung chuẩn bị
• Tìm và tổng hợp các tài liệu liên quan đến Domain Group
(Tổng quan về AD)
Phạm Đỗ • Tìm và tổng hợp các tài liệu liên quan đến Domain
18200079
Thành Đạt Group(Domain Controllers)
• Thuyết trình
• Phân công công việc cho các thành viên.
• Tìm và tổng hợp các tài liệu liên quan đến Domain
Trần Văn Hải 18200091 Group(Domain Controllers)
• Tìm và tổng hợp các tài liệu liên quan đến Domain Group
(Tổng quan về AD)
• Tìm và tổng hợp các tài liệu liên quan đến Group Policy
Infrastructure, settings and management (Group Policy)
Trần Ngọc • Tìm và tổng hợp các tài liệu liên quan đến Group Policy
18200093 Infrastructure, settings and management (Thiết lập và quản
Hồng Hạnh
lý)
• Thuyết trình.
• Tìm và tổng hợp các tài liệu liên quan đến Group Policy
Infrastructure, settings and management (Thiết lập và quản
Bùi Văn Hậu 18200097 lý)
• Tìm tài liệu liên quan đến nội dung thuyết trình
• Triển khai và thực hiện phần Demo
Nguyễn • Tìm tài liệu mô phỏng liên quan đến nội dung
18200103
Phùng Hiếu • Thuyết trình

• Tìm và tổng hợp các tài liệu liên quan đến Group Policy
Infrastructure, settings and management (Group Policy)
Nguyễn Thị • Làm Word từ tài liệu đã được tổng hợp bởi các thành viên.
18200099 • Làm Powerpoint thuyết trình từ tài liệu đã được tổng hợp bởi
Hậu
các thành viên.

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group
(Tổng quan về AD)
Dương Đình
18200003 • Làm Word từ tài liệu đã được tổng hợp bởi các thành viên.
Đạt
• Tìm tài liệu liên quan đến nội dung thuyết trình.
2. BẢNG ĐIỂM CÁC THÀNH VIÊN.
Mức độ hoàn thành công việc được giao:

Họ và Tên MSSV Chức vụ Đánh giá

Phạm Đỗ Thành Đạt 18200079 Thành viên 100%

Trần Văn Hải 18200091 Nhóm trưởng 100%

Trần Ngọc Hồng Hạnh 18200093 Thành viên 100%

Bùi Văn Hậu 18200097 Thành viên 100%

Nguyễn Thị Hậu 18200099 Thư ký 100%

Nguyễn Phùng Hiếu 18200103 Thành viên 100%

Dương Đình Đạt 18200003 Thành viên 50%

E. Tài liệu tham khảo

https://indianpdf.files.wordpress.com/2021/07/mcsa-windows-server-2016-complete-study-guide-
2nd-edition-book-pdf-download-www.indianpdf.com_.pdf
https://homeworks.it/Pdf/Group%20Policy%20Infrastructure.pdf