28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts

­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Sử dụng tính năng lọc bảo mật để áp dụng chính sách

nhóm trong Windows 2003
Điều gây nhầm lẫn về chính sách nhóm là tên của nó làm nhiều người tưởng rằng các chính sách nhóm sẽ
được áp dụng trực tiếp cho các nhóm (group). Tuy nhiên, chính sách nhóm chỉ được áp dụng cho tài khoản
người dùng hoặc tài khoản máy, bằng cách liên kết các đối tượng chính sách nhóm (GPO), tức tập hợp các
thiết lập về chính sách, tới một đơn vị tổ chức (OU) miền (domain) hoặc địa bàn (site) chứa tài khoản đó.
Một số người có thể đặt câu hỏi: “Làm thế nào tôi có thể áp dụng GPO cho một nhóm?”. Tính năng lọc bảo
mật sẽ là câu trả lời cho câu hỏi này.

Tìm hiểu về security filtering

Việc áp dụng security filtering dựa trên nguyên tắc các GPO cũng được liên kết với một ACL (danh sách
kiểm soát truy nhập). ACL là một tập hợp các ACE (đầu mục kiểm soát truy nhập) quy định quyền truy nhập
vào đối tượng cho các nhóm khác nhau. Bạn có thể xem ACL bằng cách sau đây:
1. Mở Group Policy Management Console (GPMC)
2. Mở rộng cây điều khiển bên trái cho tới khi bạn tìm thấy node Group Policy Objects
3. Chọn GPO bạn muốn xem ACL mặc định dưới node Group Policy Object (trong trường hợp này là
Vancouver GPO)

4. Chọn tab Delegation ở khung bên phải (Hình 1)

Hình 1: Sử dụng tab Delegation để xem ACL của Vancouver GPO

Muốn xem các ACE của ACL liên kết với GPO này, kích chuột vào phím Advanced để hiển thị cửa sổ ACL
Editor (Hình 2):

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 1/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Hình 2: Sử dụng ACL Editor để xem ACL của Vancouver GPO

Điểm khác nhau cơ bản giữa 2 hình trên là ACL Editor hiển thị quyền Apply Group Policy trong khi tab
Delegation không hiển thị quyền này. Đó là vì tab Delegation chỉ hiển thị các ACE cho các nhóm thực hiện
việc xử lý GPO và những nhóm này được ngầm hiểu có quyền Apply Group Policy. Nếu bạn muốn một
nhóm trong một OU sẽ xử lý các thiết lập trong một GPO liên kết với OU đó, nhóm này sẽ phải có tối thiểu
các quyền sau đây:
­ Allow Read
­ Allow Apply Group Policy
Các ACE mặc định của một GPO mới được tạo có thể phức tạp hơn tuỳ vào việc bạn gán thêm các quyền
như thế nào nhưng đứng trên góc độ của security filtering, dưới đây là các quyền cơ bản:

Nhóm Read Apply Group Policy

Authenticated Users Allow Allow

CREATOR OWNER Allow (implicit)

Domain Admins Allow

Enterprise Admins Allow

ENTERPRISE DOMAIN Allow

CONTROLLERS

SYSTEM Allow

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 2/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Lưu ý rằng các nhóm Domain Admins, Enterprise Admins sẽ có thêm một số quyền khác (Write, Create,
Delete), cho phép những người thuộc các nhóm này tạo và quản lý các GPO. Bởi vì những quyền này
không liên quan tới security filtering nên tạm thời chúng ta không xem xét tới.
Nhóm Authenticated Users có cả quyền Read và Apply Group Policy, nghĩa là các thiết lập trong GPO sẽ
được áp dụng đối với nhóm đó khi GPO được xử lý. Nhưng thực sự Authenticated Users gồm những ai?
Thành viên của nó là tất cả các đối tượng bảo mật, tức tất cả các user account và computer account của
miền đã được AD xác thực. Điều đó có nghĩa là theo mặc định tất cả những thiết lập trong GPO sẽ được áp
dụng đối với tất cả user account và computer account nằm trong container có GPO liên kết tới.
Sử dụng security filtering
Giả sử bạn đứng trước một tình huống cần sử dụng tính năng security filtering để giải quyết một vấn đề liên
quan tới việc thiết kế Group Policy. Hình 3 cho thấy cấu trúc của OU của hệ thống. OU mức cao nhất
Vancouver có 3 OU cấp hai, mỗi OU cho một phòng khác nhau, các user account và computer account trong
mỗi phòng được đưa vào các OU cấp 3 riêng rẽ.

Hình 3: Cấu trúc OU cho văn phòng Vancouver

Giả sử rằng trong số 15 người làm việc trong phòng Sales and Markeitng Department ở Vancouver, có 3
người là nhân viện quản lý và cần được cấp một số quyền đặc biệt, chẳng hạn có thể sử dụng một phần
mềm nào đó mà những người khác trong văn phòng không được phép. Bạn có thể cung cấp phần mềm đó
cho họ bằng cách quảng bá nó trong Add or Remove Programs thông qua một GPO. Vấn đề là ở chỗ, nếu
bạn liên kết GPO này với OU Sales and Marketing Users thì tất cả 15 người sử dụng trong phòng sẽ có thể
cài đặt phần mềm này thông qua công cụ Add or Remove Program. Nhưng bạn muốn chỉ 3 nhân viên cao
cấp này được phép sử dụng phần mềm, vậy phải làm như thế nào?
Bạn có thể tạo một OU khác dưới OU Sales and Marketing User và đặt tên cho OU này là Senior Sales and
Marketing Users OU, sau đó bạn chuyển tài khoản của 3 nhân viên cao cấp tới OU mới và tạo một GPO
triển khai phần mềm rồi liên kết nó với OU mới. Cách tiếp cận này hoàn toàn khả thi song nó có một số điểm
bất lợi:
­ Nó sẽ tạo cấu trúc OU có nhiều cấp và phức tạp hơn, khó hiểu hơn
­ Nó sẽ phân tán tài khoản người sử dụng vào nhiều container hơn và như vậy việc quản trị sẽ khó hơn
Một giải pháp tốt hơn là giữ nguyên cấu trúc OU và vẫn để nguyên 15 người sử dụng trong OU Sales and
Marketing Users rồi tạo một GPO triển khai phần mềm và liên kết với OU này (Hình 4) và sau đó sử dụng
tính năng security filtering để chỉ cho phép 3 nhân viên cấp cao nhận được chính sách.

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 3/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Hình 4: GPO triển khai phần mềm cho các nhân viên cao cấp trong OU Sales and Marketing Users
Để lọc GPO triển khai phần mềm sao cho chỉ Bob Smith, Mary Jones và Tom được áp dụng chính sách, đầu
tiên bạn hãy vào công cụ quản trị Active Directory Users and Computers để tạo một nhóm global và đặt tên
cho nhóm này là Senior Sales and Marketing Users với các thành viên là 3 nhân viên cao cấp trên (hình 5).

Hình 5: Các thành viên của nhóm global Senior Sales and Marketing Users
http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 4/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Lưu ý rằng bạn có thể lưu nhóm bảo mật này vào trong bất kỳ container nào của domain nhưng để đơn giản
bạn hãy đặt nó trong Sales and Marketing Users GPO vì đây cũng là nơi chứa các thành viên của nhóm.
Bây giờ quay trở lại GPMC, chọn GPO triển khai phần mềm trong khung bên trái và trên tab Scope ở khung
bên phải hãy loại bỏ nhóm Authenticated User khỏi mục Security Filtering và sau đó đưa vào mục này nhóm
global Senior Sales and Marketing Users vừa tạo (Hình 6).

Hình 6: Lọc GPO để chỉ ảnh hưởng tới nhóm Senior Sales and Marketing Users
Đó là tất cả những gì chúng ta cần làm. Từ giờ trở đi khi chính sách được xử lý cho những người sử dụng
trong OU Sales and Marketing Users, động cơ xử ký Group Policy ở máy trạm sẽ xác định những GPO nào
sẽ được áp dụng đối với người sử dụng đó. Nếu người sử dụng là thành viên của nhóm Senior Sales and
Marketing Users, những GPO sau sẽ được áp dụng theo đúng thứ tự trong danh sách (giả sử chúng ta
không lọc chặn GPO ở bất cứ nơi nào).
1. Default Domain Policy
2. Vancouver GPO
3. Sales and Marketing GPO
4. Sales and Marketing Users GPO
5. Senior Sales and Marketing Users GPO
6. Default Domain Policy
7. Vancouver GPO
8. Sales and Marketing GPO
9. Sales and Marketing Users GPO
10. Senior Sales and Marketing Users GPO
Nếu người sử dụng không thuộc nhóm 3 nhân viên cao cấp ở trên thì chính sách cuối cùng (Senior Sales
and Marketing Users GPO) sẽ không áp dụng đối với họ. Nói cách khác, chỉ Bob, Mary và Tom nhận được
gói phần mềm quảng bá như chúng ta mong muốn.
Ưu điểm của security filtering

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 5/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Ưu điểm của security filtering là nó cho phép chúng ta đơn giản hóa cấu trúc OU trong khi vẫn đảm bảo các
chính sách nhóm được xử lý theo cách chúng ta mong muốn. Lấy ví dụ, trong cấu trúc OU cho Vancouver ở
bài viết này, chúng ta có 3 OU riêng rẽ cho 3 phòng ban khác nhau: IT Department, Management và Sales
and Marketing. Tại một nơi khác, Toronto, chúng ta có thể tiếp cận theo một cách khác và dồn tất cả người
sử dụng và máy tính lại như trong Hình 7.

Hình 7: Toronto có cấu trúc OU đơn giản hơn Vancouver

Chúng ta có thể nhóm các tài khoản người dùng và tài khoản máy tính ở Toronto vào các nhóm global như
sau:
­ IT Department Users
­ IT Department Computers
­ Management Users
­ Management Computers
­ Sales and Marketing Users
­ Sales and Marketing Computers
Sau đó chúng ta sẽ tạo GPO cho mỗi nhóm nhóm người sử dụng và máy tính tại Toronto, liên kết những
GPO này với các OU tương ứng và sử dụng tính security filtering để đảm bảo chúng chỉ áp dụng cho những
nhóm nhất định. (Hình 8)

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 6/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts ­ Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…

Hình 8: Sử dụng Group Policy để quản lý người sử dụng tạiToronto

Nhược điểm của cách tiếp cận này là nó làm phẳng cấu trúc OU và làm tăng số GPO liên kết với mỗi OU.
Đối với người quản trị, thoạt đầu sẽ khó nhận biết những chính sách nào sẽ được áp dụng đối với từng
người sử dụng và máy tính trừ khi họ xem xét một cách cẩn thận trong thiết lập của security filtering.
Kết luận
Đây thực ra là một sự đánh đổi giữa hai biện pháp: giữ cho cấu trúc OU được phẳng nhưng lại khó quản lý
chính sách nhóm hay tăng cấp cấu trúc OU nhưng việc quản lý tài khoản lại khó hơn. Lựa chọn cuối cùng sẽ
thuộc về bạn khi triển khai Group Policy trong phạm vi doanh nghiệp. Hy vọng qua bài viết này, các bạn sẽ
biết cách áp dụng các chính sách có hiệu quả hơn cho mạng của công ty mình.

Tin mới hơn:

23/01/2007 04:57 ­ Hệ thống WSUS ­ Phần 2

22/01/2007 05:10 ­ Hệ thống WSUS ­ Phần 1
19/01/2007 04:51 ­ Triển khai Network Access Quarantine Control, (phần 2)
18/01/2007 09:17 ­ Triển khai Network Access Quarantine Control (phần 1)
09/11/2006 08:07 ­ Sử dụng đồng thời nhiều Windows XP trên 1 máy tính

Tin cũ hơn:

27/10/2006 04:31 ­ Các công ty bảo mật tiếp tục tranh cãi tính năng bảo mật trên windows vista
29/09/2006 09:19 ­ Cấu hình Disk Quota cho mỗi User trong Windows Server 2003
25/09/2006 09:13 ­ Microsoft tin tưởng vào khả năng bảo mật
23/09/2006 05:27 ­ Symantec thử tấn công các tính năng bảo mật trong Windows Vista
15/05/2006 06:24 ­ Hướng dẫn cài đặt Mail Offline trên chương trình MDaemon

<< Trang truớc Trang kế >>

http://vnexperts.net/bai­viet­ky­thuat/windows/359­s­dng­tinh­nng­lc­bo­mt­­ap­dng­chinh­sach­nhom­trong­windows­2003.html?tmpl=component&print=1&la… 7/7