Máy 2012 – 192.168.1.

1/24

Máy XP – 192.168.1.2/24

Các bước chuẩn bị ban đầu:

Bước 1: Nâng cấp máy tính 2012 từ workgroup thành domain với tên là ngocdai.com.

Bước 2: Cho máy XP tham gia domain thành công.

Bước 3: Tạo cấu trúc quản lý như bên dưới.

- Tạo OU congty.

- Trong OU congty tạo 2 ou con là OU ketoan và OU nhansu.

- Trong OU ketoan tạo user là kt1 và kt2. Password là: P@ssWord123.

- Trong OU nhansu tạo user là ns1 và ns2. Password là: P@ssWord123.

Password được yêu cầu là phức tạp vì mặc định thì Domain yêu cầu như vậy.

- Cách làm: Sinh viên tự thực hiện phần này.

- Hình ảnh kết quả:

Bước 4: Giải thích về chính sách của người dùng trong môi trường Domain.

Policy bao gồm 2 loại: local policy và domain policy. Local Policy (gpedit.msc) chỉnh ở đâu thì chỉ có nơi đó tác động.
Domain Policy thì chỉ cần chỉnh ở 1 nơi mà tác động ở nhiều nơi (toàn Domain hoặc các OU cụ thể). Chủ yếu người quản
trị sử dụng Domain policy.

Để thực hiện được các Domain policy (các chính sách cho người dùng trong môi trường domain) thì cần phải sử dụng đến
“Group Policy Object - GPO”. Ví dụ: OU ketoan không đượng dùng “run”. Đây là một chính sách của công ty. Do trong
OU ketoan có nhiều user nên để cấu hình chính sách này dể dàng thì cần dùng GPO.

Đặt tên GPO phải mô tả đúng mục tiêu cấu hình. 1 GPO có thể chứa 1 hoặc nhiều Policy khác nhau. Cùng 1 Policy có thể
chứa trên nhiều GPO khác nhau.
Ví dụ: OU ketoan được cấu hình GPO có tên là “cấm user” thì có nhiều policy là “cấm dùng run” và “cấm mở control
pannel”. Ngược lại thì policy “cấm dùng run” cũng được dùng cho OU nhansu thông qua 1 GPO có tên là “thích thì cấm”.

Lưu ý:

+ GPO chỉ nên chỉnh 1 Policy hoặc 1 nhóm policy có quan hệ với nhau (ví dụ như cùng cho 1 OU).

+ GPO có tính kế thừa: GPO mà tác động domain thì tất cả các đối tượng đều bị tác động. GPO tác động lên 1 OU thì các
đối tượng bên trong (OU con, user, computer) đều bị tác động.

Để hiểu về tính kế thừa được nói ở trên thì xem xét phần lý thuyết sau:

- Đầu tiên mở GPO bằng 1 trong 2 cách:

+ Cách 1: Run -> gpmc.msc: Group Policy Management.

+ Cách 2: Mở Server manager, chọn Tools, chọn Group Policy Management.

- Giao diện của nơi cấu hình GPO:

- Quan sát hình trên thì có thể thấy:

+ Ngoài các OU được tạo là congty, ketoan, nhansu thì còn có 1 OU có sẵn là “Domain Controllers”.

+ Dưới domain ngocdai.com có sẵn 1 GPO có tên là “Default Domain Policy”. Default Domain Policy là một GPO tác động
đến toàn domain.

+ Trong OU Domain Controllers cũng có sẵn 1 GPO có tên là Default Domain Controller Policy. GPO tác động đến OU
Domain Controller (là OU chứa DC). Nghĩa là GPO này chỉ tác động đến DC.
- Nếu tạo một chính sách ví dụ như “cấm dùng run” trong GPO Default Domain Policy. Default Domain Policy là một GPO
tác động đến toàn domain nên chính sách này sẽ được áp luôn cho OU congty, OU ketoan và OU nhansu.

Bước 5: Cấu hình GPO trong các tình huống sau đây.

TÌNH HUỐNG 1: THEO MẶC ĐỊNH THÌ CÁC USER ĐƯỢC TẠO RA PHẢI ĐẶT PASSWORD PHỨC TẠP. YÊU
CẦU ĐẶT RA LÀ TOÀN BỘ USER TRONG DOMAIN CÓ THỂ DÙNG PASSWORD ĐƠN GIẢN, 7 KÝ TỰ, KHÓA
TÀI KHOẢN 45 PHÚT NẾU NHẬP SAI PASSWORD 3 LẦN.

- Để áp cho toàn domain thì nên dùng GPO Default Domain Policy.

- Cách làm như sau:

+ Mở màn hình quản lý GPO, chuột phải lên Default Domain Policy chọn Edit. Mở đường dẫn như trong hình bên dưới.
+ Tiếp tục chọn Password Policy và chỉnh như trong hình.

+ Tiếp tục chọn Account Lockout Policy và chỉnh như trong hình.
+ Vào run: gpupdate /force.

+ Bây giờ trong OU ketoan tạo thêm user kt3 với password là 1234567 đã được.

+ Tính kế thừa đã được thể hiện, chính sách thì tạo cho GPO Default Domain Policy có tác động lên toàn domain nên OU
ketoan cũng sẽ chịu tác động của GPO này.

TÌNH HUỐNG 2: TOÀN BỘ USER THUỘC OU congty BỊ CẤM KHÔNG CHO DÙNG Control Panel.

- Trong tình huống này thì tạo GPO ở OU congty (lưu ý: GPO tác động tới đâu thì làm việc ở vị trí đó).

- Cách làm:

+ Mở màn hình quản lý GPO, chuột phải lên OU congty chọn Create a GPO in this domain and Link it here …
+ Đặt tên GPO như trong hình:
+ Sau khi tạo GPO xong, chuột phải lên GPO1: Cam Control Panel và chọn edit.

+ Chọn enable như trong hình:

+ Vào run: gpupdate /force.

+ Có thể kiểm tra bằng cách dùng XP đăng nhập bằng user ns1 thì khi mở control panel sẽ báo như hình: (để mở control
pannel bằng lệnh thì vào run: control).

+ OU nhansu thuộc OU congty nên GPO 1: cam control panel khi chỉnh cho OU congty thì OU nhansu cũng sẽ bị tác động.
TÌNH HUỐNG 3: TẠO GPO CÓ TÊN LÀ GPO 2: ẨN Recycle Bin VÀ ÁP CHO OU congty

Sinh viên tự thực hiện.

TÌNH HUỐNG 4: TẠO GPO CÓ TÊN LÀ GPO 3: CẤM IE VÀ ÁP CHO OU nhansu.

Sinh viên tự thực hiện.

TÌNH HUỐNG 5: TẠO GPO CÓ TÊN LÀ GPO 4: CẤM DÙNG cmd VÀ ÁP CHO OU ketoan.

Sinh viên tự thực hiện.

SINH VIÊN NHẬN XÉT: Hiện tại thì có các GPO đã cấu hình Default Domain Policy, GPO 1, GPO 2, GPO 3, GPO 4.
User kt1, kt2, kt3 sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 5.

User ns1, ns2  sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 4.

TÌNH HUỐNG 6: TẠO THÊM OU congtymoi THUỘC ngocdai.com, TRONG OU congtymoi TẠO 2 USER LÀ abc và
xyz. CẤU HÌNH TẠO GPO CẤM OU congtymoi DÙNG CMD.

- Tạo thêm OU congtymoi và 2 user tương ứng. 2 user này được dùng password đơn giản vì GPO Default Domain Policy có
tác động lên toàn domain.
- Thay vì phải tạo thêm 1 GPO  tác động lên OU congtymoi thì chỉ cần lấy GPO 4 tác động lên OU KeToan. Lúc này chỉ
cần sử dụng tính năng “ Link” của GPO.

+ Chuột phải lên OU congtymoi chọn Link an existing GPO.

+ Chọn GPO 4 và ok là xong.
+ Vào run: gpupdate /force.

TÌNH HUỐNG 7: TOÀN BỘ USER THUỘC OU ketoan BỊ BỎ PHẦN search TRONG start menu.

Sinh viên tự thực hiện.

TÌNH HUỐNG 8: TẠO THÊM OU kuteo thuộc ngocdai.com. Cấm user trong OU này chỉnh phần Mouse trong control
pannel. (Sinh viên tự thực hiện)