Professional Documents
Culture Documents
06 - Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 - VnExperts - Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CEH
06 - Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 - VnExperts - Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CEH
Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 1/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Điểm khác nhau cơ bản giữa 2 hình trên là ACL Editor hiển thị quyền Apply Group Policy trong khi tab
Delegation không hiển thị quyền này. Đó là vì tab Delegation chỉ hiển thị các ACE cho các nhóm thực hiện
việc xử lý GPO và những nhóm này được ngầm hiểu có quyền Apply Group Policy. Nếu bạn muốn một
nhóm trong một OU sẽ xử lý các thiết lập trong một GPO liên kết với OU đó, nhóm này sẽ phải có tối thiểu
các quyền sau đây:
Allow Read
Allow Apply Group Policy
Các ACE mặc định của một GPO mới được tạo có thể phức tạp hơn tuỳ vào việc bạn gán thêm các quyền
như thế nào nhưng đứng trên góc độ của security filtering, dưới đây là các quyền cơ bản:
SYSTEM Allow
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 2/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Lưu ý rằng các nhóm Domain Admins, Enterprise Admins sẽ có thêm một số quyền khác (Write, Create,
Delete), cho phép những người thuộc các nhóm này tạo và quản lý các GPO. Bởi vì những quyền này
không liên quan tới security filtering nên tạm thời chúng ta không xem xét tới.
Nhóm Authenticated Users có cả quyền Read và Apply Group Policy, nghĩa là các thiết lập trong GPO sẽ
được áp dụng đối với nhóm đó khi GPO được xử lý. Nhưng thực sự Authenticated Users gồm những ai?
Thành viên của nó là tất cả các đối tượng bảo mật, tức tất cả các user account và computer account của
miền đã được AD xác thực. Điều đó có nghĩa là theo mặc định tất cả những thiết lập trong GPO sẽ được áp
dụng đối với tất cả user account và computer account nằm trong container có GPO liên kết tới.
Sử dụng security filtering
Giả sử bạn đứng trước một tình huống cần sử dụng tính năng security filtering để giải quyết một vấn đề liên
quan tới việc thiết kế Group Policy. Hình 3 cho thấy cấu trúc của OU của hệ thống. OU mức cao nhất
Vancouver có 3 OU cấp hai, mỗi OU cho một phòng khác nhau, các user account và computer account trong
mỗi phòng được đưa vào các OU cấp 3 riêng rẽ.
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 3/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Hình 4: GPO triển khai phần mềm cho các nhân viên cao cấp trong OU Sales and Marketing Users
Để lọc GPO triển khai phần mềm sao cho chỉ Bob Smith, Mary Jones và Tom được áp dụng chính sách, đầu
tiên bạn hãy vào công cụ quản trị Active Directory Users and Computers để tạo một nhóm global và đặt tên
cho nhóm này là Senior Sales and Marketing Users với các thành viên là 3 nhân viên cao cấp trên (hình 5).
Hình 5: Các thành viên của nhóm global Senior Sales and Marketing Users
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 4/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Lưu ý rằng bạn có thể lưu nhóm bảo mật này vào trong bất kỳ container nào của domain nhưng để đơn giản
bạn hãy đặt nó trong Sales and Marketing Users GPO vì đây cũng là nơi chứa các thành viên của nhóm.
Bây giờ quay trở lại GPMC, chọn GPO triển khai phần mềm trong khung bên trái và trên tab Scope ở khung
bên phải hãy loại bỏ nhóm Authenticated User khỏi mục Security Filtering và sau đó đưa vào mục này nhóm
global Senior Sales and Marketing Users vừa tạo (Hình 6).
Hình 6: Lọc GPO để chỉ ảnh hưởng tới nhóm Senior Sales and Marketing Users
Đó là tất cả những gì chúng ta cần làm. Từ giờ trở đi khi chính sách được xử lý cho những người sử dụng
trong OU Sales and Marketing Users, động cơ xử ký Group Policy ở máy trạm sẽ xác định những GPO nào
sẽ được áp dụng đối với người sử dụng đó. Nếu người sử dụng là thành viên của nhóm Senior Sales and
Marketing Users, những GPO sau sẽ được áp dụng theo đúng thứ tự trong danh sách (giả sử chúng ta
không lọc chặn GPO ở bất cứ nơi nào).
1. Default Domain Policy
2. Vancouver GPO
3. Sales and Marketing GPO
4. Sales and Marketing Users GPO
5. Senior Sales and Marketing Users GPO
6. Default Domain Policy
7. Vancouver GPO
8. Sales and Marketing GPO
9. Sales and Marketing Users GPO
10. Senior Sales and Marketing Users GPO
Nếu người sử dụng không thuộc nhóm 3 nhân viên cao cấp ở trên thì chính sách cuối cùng (Senior Sales
and Marketing Users GPO) sẽ không áp dụng đối với họ. Nói cách khác, chỉ Bob, Mary và Tom nhận được
gói phần mềm quảng bá như chúng ta mong muốn.
Ưu điểm của security filtering
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 5/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Ưu điểm của security filtering là nó cho phép chúng ta đơn giản hóa cấu trúc OU trong khi vẫn đảm bảo các
chính sách nhóm được xử lý theo cách chúng ta mong muốn. Lấy ví dụ, trong cấu trúc OU cho Vancouver ở
bài viết này, chúng ta có 3 OU riêng rẽ cho 3 phòng ban khác nhau: IT Department, Management và Sales
and Marketing. Tại một nơi khác, Toronto, chúng ta có thể tiếp cận theo một cách khác và dồn tất cả người
sử dụng và máy tính lại như trong Hình 7.
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 6/7
28/11/2014 Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003 | VnExperts Đào tạo quản trị mạng CCNA, CCNP, MCSA, Linux, CE…
Tin cũ hơn:
27/10/2006 04:31 Các công ty bảo mật tiếp tục tranh cãi tính năng bảo mật trên windows vista
29/09/2006 09:19 Cấu hình Disk Quota cho mỗi User trong Windows Server 2003
25/09/2006 09:13 Microsoft tin tưởng vào khả năng bảo mật
23/09/2006 05:27 Symantec thử tấn công các tính năng bảo mật trong Windows Vista
15/05/2006 06:24 Hướng dẫn cài đặt Mail Offline trên chương trình MDaemon
http://vnexperts.net/baivietkythuat/windows/359sdngtinhnnglcbomtapdngchinhsachnhomtrongwindows2003.html?tmpl=component&print=1&la… 7/7