Group Policy là một framework trong hệ điều hành Windows với các thành phần trong AD DS, trên domain controllers cũng như trên mỗi Máy chủ và máy client chạy hệ điều hành Windows. Bạn có thể quản lý cấu hình trong AD DS bằng cách xác định các chính sách nhóm trong Group Policy Objects (GPOs).
Group Policy Objects (GPOs) là một đối tượng chứa một hoặc nhiều chính sách áp đặt cho một hoặc nhiều cài đặt cho người dùng hoặc máy tính.
Group Policy là một công cụ quản trị mạnh mẽ. Bạn có thể sử dụng GPO để đẩy các cài đặt khác nhau tới một số lượng lớn người dùng và máy tính. Vì bạn có thể áp dụng chúng cho các cấp độ khác nhau, từ máy tính cục bộ đến domain.
Về cơ bản, bạn sử dụng Group Policy để định cấu hình các cài đặt mà bạn không muốn người dùng định cấu hình. Ngoài ra, bạn có thể sử dụng Group Policy để chuẩn hóa môi trường làm việc trên tất cả các máy tính trong OU hoặc trong toàn bộ tổ chức.
Bằng cách sử dụng cài đặt Group Policy Objects (GPOs), bạn có thể áp đặt chính sách đến toàn bộ site hay một domain trong tổ chức của mình hay bạn có thể thu hẹp phạm vi áp đặt chính sách vào một OU duy nhất.
Sau khi hoàn tất bài lab bạn sẽ biết cách triển khai Group Policy Objects (GPOs) trong môi trường Active Directory Domain Services (AD DS) trên Windows Server 2019/2022. Dùng Group Policy Objects (GPOs) để triển khai phần mềm tự động cho user.
Phần 1: GROUP POLICY MANAGEMENT
CÁC BƯỚC TRIỂN KHAI:
1. Tạo GPO
2. Security Filtering
3. Deny Apply Group Policy
4. Block Inheritance
5. Enforce Policy
6. Chỉnh order cho policy
7. Xem các settings của GPO
8. Group Policy Modeling Wizard
9. Item Level Targeting
10. Disable một phần policy
11. Khảo sát nơi chứa policy templates
12. Group Policy Loopback Processing Mode
13. Group Policy Results Wizard
14. Backup & Restore Policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10 Professional đã join Domain
- Chỉnh Password policy đơn giản.
- Cấp quyền Log on locally Domain Controller cho group USERS
- Tạo OU: KETOAN (user: u1, u2, u3)
- Tạo OU: NHANSU (user: u4, u5, u6)
- Tạo thư mục C:\ Backup Policies
B- THỰC HIỆN GROUP POLICY MANAGEMENT
1. Tạo GPO
B1 – Mở Server Manager, vào menu Tools, chọn Group Policy Management
B2 – Chuột phải Default Domain Policy, chọn Edit
B3 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Desktop, double click policy Remove Recycle Bin icon from desktop, chọn Enabled,
B4 – Chuột phải Group Policy Objects, chọn New
B5 – Đặt tên GPO là Hide Fonts, chọn OK
B6 – Chuột phải GPO Hide Fonts vừa tạo, chọn Edit
B7 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Control Panel, double click policy Hide specified Control Panel items
B8 – Chọn Enabled, chọn Show
B9 – Nhập Microsoft.Fonts, chọn OK
B10 – Chuột phải OU KETOAN, chọn Link an Existing GPO
B11 – Chọn GPO Hide Fonts, sau đó chọn OK
B12 – Quan sát thấy GPO đã được link vào OU KETOAN
B13 – Chuột phải OU NHANSU, chọn Create a GPO in this domain, and Link it here
B14 – Đặt tên GPO: Cam chay Notepad, chọn OK
B15 – Chuột phải GPO Cam Chay Notepad, chọn Edit
B16 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > System, double click policy Don’t run specified Windows applications
B17 – Chọn Enabled, chọn Show, nhập notepad.exe
B18 – Kiểm tra:
+ Sign In lần lượt user u1, u2, u3 sẽ thấy bị tác động bởi 2 GPO: Default Domain Policy và Hide Fonts. Mở Control Panel, không tìm thấy mục Fonts
+ Sign In lần lượt user u4, u5, u6 bị tác động bởi 2 GPO Default Domain Policy và Cấm chạy Notepad. Mở Notepad sẽ bị báo lỗi
2. Security Filtering
Mục tiêu: chỉ cho u3 bị tác động bởi GPO Hide Fonts
B1 – Chọn GPO Hide Fonts, mục Security Filtering, chọn Group Authenticated Users, chọn Remove, chọn OK 2 lần
B2 – Chọn Add, add user u3 vào
B3 – Kiểm tra:
+ Sign In u1, u2: mở Control Panel sẽ thấy mục Fonts
+ Sing In u3: mở Control Panel sẽ thấy mục Fonts. Chỉ có user u3 bị tác động bởi GPO này
3. Deny Apply Group Policy
Mục tiêu: user u4 không bị tác động bởi GPO Cam Chay Notepad
B1 – Chọn GPO Cam chay Notepad, chọn tab Delegation, chọn Advanced
B2 – Chọn Add, thêm user u4, mục Apply group policy, check vào cột Deny, sau đó chọn OK và chọn Yes
B3 – Sign In u4, mở Notepad thành công
5. Enforce Policy
B1 – Chuột phải Default Domain Policy, chọn Enforced
B2 – Chọn OU KETOAN, qua tab Group Policy Inheritance, quan sát thấy 2 GPO: Default Domain Policy và Hide Fonts
6. Chỉnh order cho policy
B1 – Tắt Enforce Policy và Block Inheritance trên Default Domain Policy và OU KETOAN
B2 – Tạo thêm GPO Cam CMD link với OU KETOAN. Chuột phải GPO Cam CMD, chọn Edit
B3 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > System, double click policy Prevent access to the command promt, chọn Enabled, sau đó chọn OK
B4 – Quan sát lúc này OU KETOAN có 2 GPO: Hide Fonts và Cam CMD
B5 – Chọn GPO Cam CMD, nhấn vào biểu tượng Move Up để di duyển GPO Cam CMD lên vị trí đầu tiên
B6 – Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedent càng nhỏ thì độ ưu tiên của GPO càng cao.
Nhận xét:
* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn
* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn
* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn
7. Xem các settings của GPO
– Mở Group Policy Management, chọn GPO Hide Fonts, qua tab Settings, quan sát các thiết lập được tạo ra trên GPO
8. Group Policy Modeling Wizard
B1 – Chuột phải Group Policy Modeling, chọn Group Policy Modeling Wizard…
B2 – Màn hình Welcome, chọn Next 2 lần
B3 – Màn hình User and Computer Selection trong 2 phần User Information và Computer Information, chọn Browse đến OU KETOAN, sau đó chọn Next 7 lần
B8 – Màn hình Completing, chọn Finish
B9 – Quan sát thấy bảng báo cáo chi tiết về các policy được áp lên OU KETOAN
9. Item level targetting
B1 – Chuột phải GPO Default Domain Policy, chọn Edit
B2 – Mở theo đường dẫn User Configuration > Preferences > Control Panel Settings, chuột phải Folder Options, chọn New, chọn Folder Options (at least Windows Vista)
B3 – Chọn Show hidden files and folders. Tắt dấu check ở 2 mục:
+ Hide extensions for known file types
+ Hide protected operating system files (Recommended)
Chọn OK
B4 – Chuột phải Folder Options, chọn Properties
B5 – Qua tab Common, đánh dấu chọn ô Item-level targeting, chọn Targeting…
B6 – Chọn New Item, chọn User
B7 – Mục User, chọn Browse, add user u4
B8 – Kiểm tra:
+ Sign In u4. Mở File Explorer, quan sát thấy các file ẩn và đuôi file
10. Disable 1 phần policy
Đôi khi chúng ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, chúng ta nên tắt những phần không dùng đến
– Chọn GPO Hide Fonts, qua tab Details , ở mục GPO Status, chọn Computer Configuration settings disabled, chọn OK
11. Khảo sát nơi chứa policy templates
B1 – Chọn GPO Cam CMD. Qua tab Details, chú ý dòng Unique ID
B2 – Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\DOM01.LOCAL\Policies, sẽ thấy có thư mục giống Unique ID của GPO Cam CMD
B3 – Mở thư mục trùng với Unique ID > User, quan sát sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này. Mở file Registry.pol bằng notepad và quan sát nội dung bên trong
12. Group Policy Loopback Processing Mode
B1 – Mở Active Directory Users and Computers, tạo OU THUCTAP. Move PC02 trong Container vào OU THUCTAP, tạo thêm user thuctap nằm trong OU này
B2 – Quay lại Group Policy Management, chuột phải OU THUCTAP, chọn Create a GPO in this domain, and Link it here
B3 – Đặt tên GPO Thuctap Policies, chọn OK
B4 – Chuột phải GPO Thuctap Policies, chọn Edit
B5 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Control Panel, double click policy Prohibit access to Control Panel and PC settings, chọn Enabled, sau đó chọn OK
B6 – Mở theo đường dẫn Computer Configuration > Policies > Administrative Templates > System > Group Policy, double click vào policy Configure user Group Policy loopback processing mode
B7 – Chọn Enabled. Ở mục Mode, chọn Merge, sau đó chọn OK
13. Group Policy Results Wizard
B1 – Trên máy PC02, Sign In DOM01\thuctap. Mở CMD, gõ lệnh gpupdate /force. Restart PC05, giữ nguyên màn hình sign in
B2 – Trên máy PC01, quay lại cửa sổ Group Policy Management. Chuột phải Group Policy Results, chọn Group Policy Results Wizard
B3 – Màn hình Welcome, chọn Next
B4 – Màn hình Computer Selection, chọn Another Computer. Chọn Browse và trỏ tới PC02, sau đó chọn Next
B5 – Màn hình User Selection, chọn DOM01\thuctap, chọn Next 2 lần
B6 – Màn hình Completing, chọn Finish
B7 – Qua tab Details, quan sát thấy policy Cấm Truy cập Control Panel được áp dụng cho user thuctap
B8 – Trên máy PC02:
+ Sign In DOM01\thuctap, truy cập Control Panel. Thông báo lỗi sẽ xuất hiện
+ Sign In DOM01\u3, truy cập Control Panel, cũng sẽ gặp thông báo lỗi tương tự.
Nhận xét:
Group Policy Loopback áp đặt các Policy của Computer cho bất kỳ User nào sử dụng trên máy đó. Có 2 chế độ :
+ Merge = kết hợp với Policy của User sử dụng
+ Replcate = thay thế Policy của User sử dụng
14. Backup & Restore Policy
B1 – Chuột phải Group Policy Objects, chọn Back Up All
B2 – Mục Location, lưu vào thư mục C:\Backup Policies, chọn Backup để sao lưu. Quá trình Backup hoàn tất, chọn OK
B3 – Chọn Group Policy Objects, chuột phải Thuctap Policies, chọn Delete, chọn Yes, sau đó chọn OK
B4 – Chuột phải Group Policy Objects, chọn Manage Backups
B5 – Chọn GPO muốn khôi phục, chọn Restore, sau đó chọn OK 2 lần
B6 – Quan sát thấy GPO đã được khôi phục
Phần 2: DEPLOY SOFTWARE, FOLDER REDIRECTION, SCRIPT, AUDIT POLICY
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình Deploy Software
a. Deploy Software cho User
b. Deploy Software cho Computer
2. Cấu hình Folder Direction
3. Cấu hình Script
4. Cấu hình Audit Policy
a. Audit account logon events
b. Audit object access
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10 Professional đã join Domain
– Chỉnh Password policy đơn giản.
– Tạo OU KETOAN (user u1, u2). Tạo OU NHANSU (user u3, u4)
– Tạo OU PUBLIC. Move máy PC02 trong Container Computers vào OU PUBLIC
– Tạo thư mục C:\Software. Share Everyone – Full Control. Truy cập PCNN, chép source Adobe Reader.msi vào thư mục này
B- THỰC HIỆN DEPLOY SOFTWARE, FOLDER REDIRECTION, SCRIPT, AUDIT POLICY
1. Cấu hình Deploy Software
a. Deploy Software cho User
B1 – Mở Group Policy Management, chuột phải OU KETOAN, chọn Create a GPO in this domain, and Link it here
B2 – Đặt tên GPO: Deploy Adobe Reader, chọn OK
B3 – Chuột phải GPO Deploy Adobe Reader vừa tạo, chọn Edit
B4 – Mở theo đường dẫn User Configuration > Policies > Software Settings, chuột phải Software installation, chọn New, sau đó chọn Package
B5 – Chọn Browse, trỏ đường dẫn đến \\192.168.1.1\Software\Adobe Reader.msi
B6 – Chọn Assigned, sau đó chọn OK
B7 – Chuột phải Package vừa tạo, chọn Properties
B8 – Bỏ chọn ô Uninstall this application when it falls out of the scope of management, sau đó chọn OK
B9 – Trên PC01 và PC02, mở Run, gõ lệnh: gpupdate /force. Restart máy PC02
B9 – Kiểm tra:
+ Trên máy PC02, Sign In DOM01\u1, quan sát thấy chương trình Adobe Reader đã được cài đặt
+ Trên máy PC01, mở Active Directory Users and Computers. Move user u1 sang OU NHANSU
+ Trên máy PC02, restart lại máy. Sign In DOM01\u1, quan sát thấy chương trình Adobe Reader đã được gỡ bỏ
b. Deploy Software cho Computer
B1 – Mở Group Policy Management, chuột phải GPO Deploy Adobe Reader, chọn Delete, sau đó chọn OK
B2 – Chuột phải OU PUBLIC, chọn Create a GPO in this domain, and Link it here
B3 – Đặt tên Deploy Software Computer, chọn OK
B4 – Chuột phải GPO Deploy Software Computer, chọn Edit
B5 – Mở theo đường dẫn Computer Configuration > Policies > Software Settings, chuột phải Software installation, chọn New, sau đó chọn Package
B6 – Chọn Browse, trỏ đường dẫn đến \\192.168.1.1\Software\Adobe Reader.msi, chọn Open
B7 – Chọn Assigned, sau đó chọn OK
B8 – Kiểm tra:
+ Trên cả 2 máy PC01 và PC02, mở Run, gõ lệnh gpupdate /force. Restart máy PC02
+ Trên máy PC02, Sign In DOM01\u3, quan sát thấy chương trình Adobe Reader đã được cài đặt. Mọi user đều bị tác động cho dù không có user nào thuộc OU PUBLIC
2. Cấu hình Folder Direction
B1 – Tạo thư mục C:\Redirect, Share Everyone – Full Control
B2 – Mở Group Policy Management, chuột phải OU NHANSU, chọn Create a GPO in this domain, and Link it here
B3 – Đặt tên Deploy Folder Redirection, chọn OK
B4 – Chuột phải GPO Deploy Folder Redirection, chọn Edit
B5 – Mở theo đường dẫn User Configuration > Policies > Windows Settings > Folder Redirection. Ở khung bên phải, chuột phải Documents, chọn Properties
B6 – Ở mục Setting, chọn Basic – Redirect everyone’s folder to the same location. Ở mục Target Folder Location, chọn Create a folder for each user under the root path. Ở mục Root Path, nhập vào đường dẫn: \\192.168.1.1\Redirect, sau đó chọn OK, chọn Yes
B7 – Kiểm tra:
+ Trên cả 2 máy PC01 và PC02, mở Run, gõ lệnh gpupdate /force. Restart máy PC02
+ Trên máy PC02, Sign In DOM01\u1. Mở File Explorer, chuột phải Documents, quan sát đường dẫn ở mục Location
3. Cấu hình Script
B1 – Tạo thư mục C:\Script. Share Everyone – Full Control
B2 – Tạo file hello.vbs với nội dung như bên dưới
B3 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit
B4 – Mở theo đường dẫn User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff), double click Logon
B5 – Nhấn Add, nhập vào đường dẫn đến file vbs: \\192.168.1.1\Script\hello.vbs, chọn Open, sau đó chọn OK
B6 – Restart máy PC02. Sign In DOM01\u1, quan sát thấy script log on xuất hiện
4. Cấu hình Audit Policy
a. Audit account logon events
B1 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit
B2 – Mở theo đường dẫn Computerr Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy, double click Audit account log on events
B3 – Đánh dấu chọn vào ô Define these policy settings, sau đó check 2 ô Success và Failure, chọn OK
B4 – Mở Run, gõ lệnh gpupdate /force
B5 – Trên máy PC02, restart lại máy. Sign In DOM01\u1, cố tình nhập sai mật khẩu
B6 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Event Viewer
B7 – Mở theo đường dẫn: Windows Logs, chọn Security. Quan sát thấy event báo user u1 không chứng thực được
B8 – Trên máy PC02, Sign In DOM01\u1, nhập đúng mật khẩu
B9 – Trên máy PC01, kiểm tra thấy event Audit Success do user u1 đăng nhập thành công
b. Audit object access
B1 – Tạo thư mục C:\Data. Share Everyone – Full Control. Trong folder Data tạo 2 file t1.txt, t2.txt
B2 – Phân quyền NTFS: Cho user u2 quyền Modify, chọn OK
B3 – Chọn Advanced. Qua tab Auditing, chọn Add
B4 – Cấu hình như bên dưới, chọn OK 4 lần
B5 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit
B6 – Mở theo đường dẫn Computerr Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy, double click Audit object access
B7 – Đánh dấu chọn vào ô Define these policy settings, sau đó check 2 ô Success và Failure, chọn OK
B8 – Mở Run, gõ lệnh gpupdate /force
B9 – Kiểm tra:
– Trên máy PC02, restart lại máy. Sign In DOM01\u1, truy cập \\192.168.1.1\Data. Xóa file t1.txt, bị báo lỗi
– Trên máy PC01, mở Server Manager, vào menu Tools, chọn Event Viewer.
– Mở theo đường dẫn Windows Logs, chọn Security. Quan sát event Audit Failure
– Trên máy PC02, Sign Out DOM01\u1. Sign In DOM01\u2, truy cập \\192.168.1.1\Data. Xóa file t1.txt, xóa thành công
– Trên máy PC01, quay lại Event Viewer, quan sát thấy event Audit Success
Hoàn Tất Bài Lab