Chương 5:

Organization Unit (OU) và Group Policy

1. Organization Unit (OU): đơn vị tổ chức
Organization Unit (OU) là một thiết kế quan trọng ảnh hưởng đến an ninh, chính
sách, hiệu quả và chi phí quản lý. OU được sắp xếp theo một cấu trúc phân cấp. Quyền sử
dụng và chính sách nhóm được thừa hưởng toàn bộ hệ thống phân cấp OU.
Đối tượng quản lý của OU là các user accounts, group accounts, and computer
accounts. Tối ưu được chức năng khi thiết kế OU hài hòa với group policy và security
groups
Một trong những lợi ích chính của OU là khả năng thực hiện chức năng của Domain
và do đó làm giảm tổng số các Domain cần thiết.
Một lợi ích khác của OU là Domain Admin có thể ủy quyền quản lý từng phần trên
OU và do đó có thể chia sẻ công việc quản trị hệ thống cho các thành viên khác.
2. Delegate Control quản lý OU
Uỷ quyền quản lý OU cho phép gán quyền quản lý OU cho các đối tượng trong OU
cho một User hoặc Group, giúp giảm bớt gánh nặng cho người quản lý mạng thông qua
việc phân công nhiệm vụ quản trị cơ bản cho User hoặc Group thuộc OU đó. Ví dụ, bạn có
thể cung cấp cho các quản trị OU quyền thêm hoặc loại bỏ User hoặc Computer, hay
quyền để thiết lập lại mật khẩu cho các User.
Bằng cách ủy quyền quản trị, cung cấp nhiều hơn quyền kiểm soát các nguồn tài
nguyên mạng cho người dùng. Như vậy nó giúp hạn chế có thêm các thành viên của nhóm
quản trị và giúp bảo vệ mạng khỏi những nguy hiểm.
3. Group policy
Các group policy chỉ có trên AD (Active Directory).
Group policy chủ yếu được áp dụng cho các site, domain và OU (Organiztion Unit).
Các group policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy
trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới
hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa
trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout),
khở động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình
trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như
Computer, My Document)…
Trên các máy tính local, có thể sử dụng local group policy để áp dụng cho máy đó (chỉ
duy nhất máy đó).
3.1. Sử dụng Group Policy quản lý môi trường làm việc User

Administrative Templates cho phép bạn kiểm soát môi trường làm việc của User.
Có hai bộ Administrative Templates: cho User và cho Computer. Sử dụng các Templates
của GPO, bạn có thể triển khai hàng trăm thay đổi registry.
Administrative Templates có các đặc điểm sau:
• Được thiết lập thành các nhóm chức năng, chẳng hạn như Network, System, và
Windows Components.
• Các thiết lập về Computer sẽ chỉnh sửa HKEY_LOCAL_MACHINE trong
registry, và các thiết lập về User sẽ chỉnh sửa HKEY_CURRENT_USER trong registry.
 • Một số cài đặt áp dụng cho cả User và Computer. Ví dụ, thiết lập Templates để
ngăn chặn Windows Messenger chạy ở cả User và Computer . Trong trường hợp thiết lập
xung đột, các thiết lập cho Computer sẽ được ưu tiên.
• Một số thiết lập chỉ có ở một số phiên bản của hệ điều hành Windows, chẳng hạn
như một số thiết lập mới chỉ có thể được áp dụng cho hệ điều hành Windows 7.
3.2. Sử dụng Group Policy để triển khai phần mềm (Deploy Software)

Có hai kiểu triển khai phần mềm cho các Client. Admin có thể triển khai phần mềm
cho User hoặc Computer bằng cách gán cài đặt các phần mềm tự động, hoặc cung cấp cho
User tùy chọn để cài đặt phần mềm bằng việc publish các phần mềm trong Active
Directory Domain Services.
Assigning Software có những đặc điểm sau đây:
+ Cài đặt phần mềm cho User, xuất hiện trên Menu Start của User các phần mềm
cài đặt khi User đăng nhập. Cài đặt không bắt đầu cho đến khi người dùng nhấp chuột đúp
biểu tượng của ứng dụng hoặc một tập tin được liên kết với các ứng dụng.
+ User sẽ không chia sẻ được ứng dụng cài đặt thông qua Group Policy cho User
khác.
 + Khi cài đặt một ứng dụng cho một máy tính, các ứng dụng sẽ được cài đặt lúc
máy tính khởi động. Ứng dụng này sẽ có cho tất cả User dùng máy tính đó.
Publishing Software có những đặc điểm sau đây:
+ Programs Control Panel sẽ xuất hiện một chương trình được Publish cho User.
User có thể cài đặt các ứng dụng bằng cách chạy chương trình, hoặc Admin có thể cài đặt
nó.
+ Các ứng dụng mà User không có quyền cài đặt sẽ không xuất hiện cho User.
+ Các ứng dụng không thể Publish đến Computer Account.
3.3. Sử dụng Group Policy để chuyển hướng thư mục (Folder redirection)

Folder Redirection, dễ dàng quản lý và sao lưu dữ liệu bằng cách chuyển hướng các
thư mục. Người sử dụng có thể truy cập vào dữ liệu từ bất kỳ máy tính nào mà người dùng
đăng nhập.
Folder Redirection có các đặc điểm sau:
+ Khi bạn chuyển hướng các thư mục, bạn thay đổi vị trí lưu trữ của thư mục từ đĩa
cứng trên máy tính của người dùng vào một thư mục chia sẻ trên File Server.
 + Sau khi chuyển hướng một thư mục vào File Server, nó vẫn còn xuất hiện cho
người dùng nếu như nó được lưu trữ trên đĩa cứng cục bộ.
+ Công nghệ Offline Files có thể sử dụng kết hợp với Folder Redirection để đồng
bộ hóa dữ liệu. Điều này đảm bảo rằng người dùng có quyền truy cập vào dữ liệu của
mình nếu bị rớt mạng hoặc người dùng đang làm việc offline.
Advantages of Folder Redirection:
+ Người dùng có đăng nhập vào nhiều máy tính, có thể truy cập dữ liệu của họ miễn
là họ có thể truy cập tài nguyên được chia sẻ.
+ Offline folders cho phép người dùng truy cập dữ liệu của họ ngay cả khi họ đang
bị ngắt kết nối từ mạng cục bộ (LAN).
+ Dữ liệu được lưu trữ trong tài nguyên được chia sẻ trên máy chủ được backup
thường xuyên.
+ Kích thước Roaming profile được giảm đáng kể bằng cách chuyển hướng dữ liệu
từ Profile.
3.4. Sử dụng Group Policy để triển khai Script
 Triển khai các Script thông qua Group Policy để thực hiện tự động một số tác vụ.
Có thể có tác vụ cần phải thực hiện mỗi lần máy Restart hay shutdown, log on hay log off.
Có thể sử dụng các Script để:
+ Clean Up máy tính khi người dùng log off và Shutdown.
+ Xóa bỏ nội dung của các thư mục tạm thời.
+ Ánh xạ ổ đĩa hoặc máy in.
+ Thiết lập các biến môi trường.
Lưu ý: Trong Windows Server 2008 R2, giao diện người dùng (UI) trong Group Policy
Editor cho Logon, Logoff, Startup và Shutdown Script bây giờ có một tab phụ cho các
kịch bản PowerShell. Chỉ cần thêm kịch bản PowerShell để tab này để triển khai nó.
Windows Server 2008 R2 hoặc Windows 7 có thể chạy các kịch bản PowerShell thông
qua Group Policy.
Trong bài thực hành này sẽ hướng dẫn các phần thực hành sau:

+ Tạo OU

+ Uỷ quyền quản lý OU

+ Dùng Group Policy quản lý môi trường làm việc của User

+ Dùng Group Policy triển khai phần mềm

+ Dùng Group Policy triển khai chuyển hướng thư mục

+ Dùng Group Policy triển khai Script ánh xạ ổ đĩa về máy tính Client

+ Dùng Group Policy triển khai Disk Quota

1. Tạo và quản lý OU

Vào Start, administrative tools, active directory users and computers, click phải vào tên
miền chọn New, Organizational Unit
Nhập tên của OU, ok

Trong OU kinhdoanh, tạo user kd1

Tạo thêm OU ketoan và user kt1

2. Uỷ quyền quản lý OU

3. Dùng Group Policy quản lý môi trường làm việc của User

4. Dùng Group Policy triển khai phần mềm (Deploy software)

Tạo thư mục deploy software, add thêm nhóm Domain users
Share thư mục deploy software

Vào Start, administrative tools, group policy management, click phải vào OU kinhdoanh
chọn Create a GPO in this domain, and link it here
Nhập tên

Click phải vào tên GPO chọn edit

Theo đường dẫn chọn New, Package

Truy cập vào thư mục deploy software, chọn chương trình chúng ta muốn cài đặt cho máy
client
Chọn Advanced, ok

ở tab Deployment, chọn Assigned, chọn Install this application at logon, ok

sau đó vào run, gõ lệnh gpupdate /force

Trên máy client, đăng nhập với user kd1 chúng ta thấy chương trình 7 zip đã được cài đặt

5. Dùng Group Policy triển khai chuyển hướng thư mục (Folder redirection)

Trên máy server tạo thư mục fr, add thêm nhóm Domain users
Share thư mục fr

Vào Group policy management, tạo thêm GPO tên folder redirection, edit
Theo đường dẫn chọn properties

ở mục Setting, chọn Basic – redirec everyone’s folder to the same location ở mục Root
path, chọn Browse rồi chọn đường dẫn đến thư mục fr, ok sau đó vào run, gõ lệnh
gpupdate /force
Trên máy client, đăng nhập với user kd1, ta thấy thư mục Document được chuyển đến
server và nó cũng tạo thêm thư mục kd1 trong thư mục fr

Vào lại thư mục fr trên máy server kiểm tra

6. Dùng Group Policy triển khai Logon script ánh xạ ổ đĩa mạng về máy client
Trên máy server tạo thư mục hoso và share
Tạo thêm thư mục script và share

Mở notepad và gõ các lệnh như trong hình

Lưu file notepad vào thư mục script với tên là logon.bat

Vào Group policy management, tạo GPO mới trong OU ketoan, edit
Theo đường dẫn chọn Logon

Chọn Add
Truy cập vào thư mục script, chọn file logon.bat

Ok, sau đó vào run, gõ lệnh gpupdate /force

Trên máy client, đăng nhập với user kt1 ta thấy kết quả như hình

7. Dùng Group Policy triển khai hạn ngạch đĩa (Disk Quota)