Site icon VNSEOLAB.com

Lab Windows Server 2022 – Module 3 Triển Khai và Quản Lý Group Policy

Group Policy là một framework trong hệ điều hành Windows với các thành phần trong AD DS, trên domain controllers cũng như trên mỗi Máy chủ và máy client chạy hệ điều hành Windows. Bạn có thể quản lý cấu hình trong AD DS bằng cách xác định các chính sách nhóm trong Group Policy Objects (GPOs).

Group Policy Objects (GPOs) là một đối tượng chứa một hoặc nhiều chính sách áp đặt cho một hoặc nhiều cài đặt cho người dùng hoặc máy tính.

Group Policy là một công cụ quản trị mạnh mẽ. Bạn có thể sử dụng GPO để đẩy các cài đặt khác nhau tới một số lượng lớn người dùng và máy tính. Vì bạn có thể áp dụng chúng cho các cấp độ khác nhau, từ máy tính cục bộ đến domain.

Về cơ bản, bạn sử dụng Group Policy để định cấu hình các cài đặt mà bạn không muốn người dùng định cấu hình. Ngoài ra, bạn có thể sử dụng Group Policy để chuẩn hóa môi trường làm việc trên tất cả các máy tính trong OU hoặc trong toàn bộ tổ chức.

Bằng cách sử dụng cài đặt Group Policy Objects (GPOs), bạn có thể áp đặt chính sách đến toàn bộ site hay một domain trong tổ chức của mình hay bạn có thể thu hẹp phạm vi áp đặt chính sách vào một OU duy nhất.

Sau khi hoàn tất bài lab bạn sẽ biết cách triển khai Group Policy Objects (GPOs) trong môi trường Active Directory Domain Services (AD DS) trên Windows Server 2019/2022. Dùng Group Policy Objects (GPOs) để triển khai phần mềm tự động cho user.

Phần 1: GROUP POLICY MANAGEMENT

CÁC BƯỚC TRIỂN KHAI:

1. Tạo GPO

2. Security Filtering

3. Deny Apply Group Policy

4. Block Inheritance

5. Enforce Policy

6. Chỉnh order cho policy

7. Xem các settings của GPO

8. Group Policy Modeling Wizard

9. Item Level Targeting

10. Disable một phần policy

11. Khảo sát nơi chứa policy templates

12. Group Policy Loopback Processing Mode

13. Group Policy Results Wizard

14. Backup & Restore Policy

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)

+ PC02: Windows 10 Professional đã join Domain

B- THỰC HIỆN GROUP POLICY MANAGEMENT

1. Tạo GPO

1. Tạo GPO

B1 – Mở Server Manager, vào menu Tools, chọn Group Policy Management

B2 – Chuột phải Default Domain Policy, chọn Edit

B3 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Desktop, double click policy Remove Recycle Bin icon from desktop, chọn Enabled,

B4 – Chuột phải Group Policy Objects, chọn New

B5 – Đặt tên GPO là Hide Fonts, chọn OK

B6 – Chuột phải GPO Hide Fonts vừa tạo, chọn Edit

B7 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Control Panel, double click policy Hide specified Control Panel items

B8 – Chọn Enabled, chọn Show

B9 – Nhập Microsoft.Fonts, chọn OK

B10 – Chuột phải OU KETOAN, chọn Link an Existing GPO

B11 – Chọn GPO Hide Fonts, sau đó chọn OK

B12 – Quan sát thấy GPO đã được link vào OU KETOAN

B13 – Chuột phải OU NHANSU, chọn Create a GPO in this domain, and Link it here

B14 – Đặt tên GPO: Cam chay Notepad, chọn OK

B15 – Chuột phải GPO Cam Chay Notepad, chọn Edit

B16 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > System, double click policy Don’t run specified Windows applications

B17 – Chọn Enabled, chọn Show, nhập notepad.exe

B18 – Kiểm tra:

+ Sign In lần lượt user u1, u2, u3 sẽ thấy bị tác động bởi 2 GPO: Default Domain Policy và Hide Fonts. Mở Control Panel, không tìm thấy mục Fonts

+ Sign In lần lượt user u4, u5, u6 bị tác động bởi 2 GPO Default Domain Policy và Cấm chạy Notepad. Mở Notepad sẽ bị báo lỗi

2. Security Filtering

2. Security Filtering

Mục tiêu: chỉ cho u3 bị tác động bởi GPO Hide Fonts

B1 – Chọn GPO Hide Fonts, mục Security Filtering, chọn Group Authenticated Users, chọn Remove, chọn OK 2 lần

B2 – Chọn Add, add user u3 vào

B3 – Kiểm tra:

+ Sign In u1, u2: mở Control Panel sẽ thấy mục Fonts

+ Sing In u3: mở Control Panel sẽ thấy mục Fonts. Chỉ có user u3 bị tác động bởi GPO này

3. Deny Apply Group Policy

3. Deny Apply Group Policy

Mục tiêu: user u4 không bị tác động bởi GPO Cam Chay Notepad

B1 – Chọn GPO Cam chay Notepad, chọn tab Delegation, chọn Advanced

B2 – Chọn Add, thêm user u4, mục Apply group policy, check vào cột Deny, sau đó chọn OK và chọn Yes

B3 – Sign In u4, mở Notepad thành công

4. Block Inheritance

4. Block Inheritance

B1 – Chọn OU KETOAN, qua tab Group Policy Inheritance, quan sát thấy 2 GPO: Default Domain Policy và Hide Fonts

B2 – Chuột phải OU KETOAN, chọn Block Inheritance

B3 – Quan sát thấy OU KETOAN chỉ còn 1 GPO Hide Fonts, không còn thừa kế GPO Default Domain Policy

5. Enforce Policy

5. Enforce Policy

B1 – Chuột phải Default Domain Policy, chọn Enforced

B2 – Chọn OU KETOAN, qua tab Group Policy Inheritance, quan sát thấy 2 GPO: Default Domain Policy và Hide Fonts

6. Chỉnh order cho policy

6. Chỉnh order cho policy

B1 – Tắt Enforce Policy và Block Inheritance trên Default Domain Policy và OU KETOAN

B2 – Tạo thêm GPO Cam CMD link với OU KETOAN. Chuột phải GPO Cam CMD, chọn Edit

B3 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > System, double click policy Prevent access to the command promt, chọn Enabled, sau đó chọn OK

B4 – Quan sát lúc này OU KETOAN có 2 GPO: Hide Fonts và Cam CMD

B5 – Chọn GPO Cam CMD, nhấn vào biểu tượng Move Up để di duyển GPO Cam CMD lên vị trí đầu tiên

B6 – Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedent càng nhỏ thì độ ưu tiên của GPO càng cao.

Nhận xét:

* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn

7. Xem các settings của GPO

7. Xem các settings của GPO

– Mở Group Policy Management, chọn GPO Hide Fonts, qua tab Settings, quan sát các thiết lập được tạo ra trên GPO

8. Group Policy Modeling Wizard

8. Group Policy Modeling Wizard

B1 – Chuột phải Group Policy Modeling, chọn Group Policy Modeling Wizard…

B2 – Màn hình Welcome, chọn Next 2 lần

B3 – Màn hình User and Computer Selection trong 2 phần User Information và Computer Information, chọn Browse đến OU KETOAN, sau đó chọn Next 7 lần

B8 – Màn hình Completing, chọn Finish

B9 – Quan sát thấy bảng báo cáo chi tiết về các policy được áp lên OU KETOAN

9. Item level targetting

9. Item level targetting

B1 – Chuột phải GPO Default Domain Policy, chọn Edit

B2 – Mở theo đường dẫn User Configuration > Preferences > Control Panel Settings, chuột phải Folder Options, chọn New, chọn Folder Options (at least Windows Vista)

B3 – Chọn Show hidden files and folders. Tắt dấu check ở 2 mục:

+ Hide extensions for known file types

+ Hide protected operating system files (Recommended)

Chọn OK

B4 – Chuột phải Folder Options, chọn Properties

B5 – Qua tab Common, đánh dấu chọn ô Item-level targeting, chọn Targeting…

B6 – Chọn New Item, chọn User

B7 – Mục User, chọn Browse, add user u4

B8 – Kiểm tra:

+ Sign In u4. Mở File Explorer, quan sát thấy các file ẩn và đuôi file

10. Disable 1 phần policy

10. Disable 1 phần policy

Đôi khi chúng ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, chúng ta nên tắt những phần không dùng đến

– Chọn GPO Hide Fonts, qua tab Details , ở mục GPO Status, chọn Computer Configuration settings disabled, chọn OK

11. Khảo sát nơi chứa policy templates

11. Khảo sát nơi chứa policy templates

B1 – Chọn GPO Cam CMD. Qua tab Details, chú ý dòng Unique ID

B2 – Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\DOM01.LOCAL\Policies, sẽ thấy có thư mục giống Unique ID của GPO Cam CMD

B3 – Mở thư mục trùng với Unique ID > User, quan sát sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này. Mở file Registry.pol bằng notepad và quan sát nội dung bên trong

12. Group Policy Loopback Processing Mode

12. Group Policy Loopback Processing Mode

B1 – Mở Active Directory Users and Computers, tạo OU THUCTAP. Move PC02 trong Container vào OU THUCTAP, tạo thêm user thuctap nằm trong OU này

B2 – Quay lại Group Policy Management, chuột phải OU THUCTAP, chọn Create a GPO in this domain, and Link it here

B3 – Đặt tên GPO Thuctap Policies, chọn OK

B4 – Chuột phải GPO Thuctap Policies, chọn Edit

B5 – Mở theo đường dẫn User Configuration > Policies > Administrative Templates > Control Panel, double click policy Prohibit access to Control Panel and PC settings, chọn Enabled, sau đó chọn OK

B6 – Mở theo đường dẫn Computer Configuration > Policies > Administrative Templates > System > Group Policy, double click vào policy Configure user Group Policy loopback processing mode

B7 – Chọn Enabled. Ở mục Mode, chọn Merge, sau đó chọn OK

13. Group Policy Results Wizard

13. Group Policy Results Wizard

B1 – Trên máy PC02, Sign In DOM01\thuctap. Mở CMD, gõ lệnh gpupdate /force. Restart PC05, giữ nguyên màn hình sign in

B2 – Trên máy PC01, quay lại cửa sổ Group Policy Management. Chuột phải Group Policy Results, chọn Group Policy Results Wizard

B3 – Màn hình Welcome, chọn Next

B4 – Màn hình Computer Selection, chọn Another Computer. Chọn Browse và trỏ tới PC02, sau đó chọn Next

B5 – Màn hình User Selection, chọn DOM01\thuctap, chọn Next 2 lần

B6 – Màn hình Completing, chọn Finish

B7 – Qua tab Details, quan sát thấy policy Cấm Truy cập Control Panel được áp dụng cho user thuctap

B8 – Trên máy PC02:

+ Sign In DOM01\thuctap, truy cập Control Panel. Thông báo lỗi sẽ xuất hiện

+ Sign In DOM01\u3, truy cập Control Panel, cũng sẽ gặp thông báo lỗi tương tự.

Nhận xét:

Group Policy Loopback áp đặt các Policy của Computer cho bất kỳ User nào sử dụng trên máy đó. Có 2 chế độ :

+ Merge = kết hợp với Policy của User sử dụng

+ Replcate = thay thế Policy của User sử dụng

14. Backup & Restore Policy

14. Backup & Restore Policy

B1 – Chuột phải Group Policy Objects, chọn Back Up All

B2 – Mục Location, lưu vào thư mục C:\Backup Policies, chọn Backup để sao lưu. Quá trình Backup hoàn tất, chọn OK

B3 – Chọn Group Policy Objects, chuột phải Thuctap Policies, chọn Delete, chọn Yes, sau đó chọn OK

B4 – Chuột phải Group Policy Objects, chọn Manage Backups

B5 – Chọn GPO muốn khôi phục, chọn Restore, sau đó chọn OK 2 lần

B6 – Quan sát thấy GPO đã được khôi phục

Phần 2: DEPLOY SOFTWARE, FOLDER REDIRECTION, SCRIPT, AUDIT POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Cấu hình Deploy Software

a. Deploy Software cho User

b. Deploy Software cho Computer

2. Cấu hình Folder Direction

3. Cấu hình Script

4. Cấu hình Audit Policy

a. Audit account logon events

b. Audit object access

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)

+ PC02: Windows 10 Professional đã join Domain

– Chỉnh Password policy đơn giản.

– Tạo OU KETOAN (user u1, u2). Tạo OU NHANSU (user u3, u4)

– Tạo OU PUBLIC. Move máy PC02 trong Container Computers vào OU PUBLIC

– Tạo thư mục C:\Software. Share Everyone – Full Control. Truy cập PCNN, chép source Adobe Reader.msi vào thư mục này

B- THỰC HIỆN DEPLOY SOFTWARE, FOLDER REDIRECTION, SCRIPT, AUDIT POLICY

1. Cấu hình Deploy Software

1. Cấu hình Deploy Software

a. Deploy Software cho User

B1 – Mở Group Policy Management, chuột phải OU KETOAN, chọn Create a GPO in this domain, and Link it here

B2 – Đặt tên GPO: Deploy Adobe Reader, chọn OK

B3 – Chuột phải GPO Deploy Adobe Reader vừa tạo, chọn Edit

B4 – Mở theo đường dẫn User Configuration > Policies > Software Settings, chuột phải Software installation, chọn New, sau đó chọn Package

B5 – Chọn Browse, trỏ đường dẫn đến \\192.168.1.1\Software\Adobe Reader.msi

B6 – Chọn Assigned, sau đó chọn OK

B7 – Chuột phải Package vừa tạo, chọn Properties

B8 – Bỏ chọn ô Uninstall this application when it falls out of the scope of management, sau đó chọn OK

B9 – Trên PC01 và PC02, mở Run, gõ lệnh: gpupdate /force. Restart máy PC02

B9 – Kiểm tra:

+ Trên máy PC02, Sign In DOM01\u1, quan sát thấy chương trình Adobe Reader đã được cài đặt

+ Trên máy PC01, mở Active Directory Users and Computers. Move user u1 sang OU NHANSU

+ Trên máy PC02, restart lại máy. Sign In DOM01\u1, quan sát thấy chương trình Adobe Reader đã được gỡ bỏ

b. Deploy Software cho Computer

B1 – Mở Group Policy Management, chuột phải GPO Deploy Adobe Reader, chọn Delete, sau đó chọn OK

B2 – Chuột phải OU PUBLIC, chọn Create a GPO in this domain, and Link it here

B3 – Đặt tên Deploy Software Computer, chọn OK

B4 – Chuột phải GPO Deploy Software Computer, chọn Edit

B5 – Mở theo đường dẫn Computer Configuration > Policies > Software Settings, chuột phải Software installation, chọn New, sau đó chọn Package

B6 – Chọn Browse, trỏ đường dẫn đến \\192.168.1.1\Software\Adobe Reader.msi, chọn Open

B7 – Chọn Assigned, sau đó chọn OK

B8 – Kiểm tra:

+ Trên cả 2 máy PC01 và PC02, mở Run, gõ lệnh gpupdate /force. Restart máy PC02

+ Trên máy PC02, Sign In DOM01\u3, quan sát thấy chương trình Adobe Reader đã được cài đặt. Mọi user đều bị tác động cho dù không có user nào thuộc OU PUBLIC

2. Cấu hình Folder Direction
2. Cấu hình Folder Direction

B1 – Tạo thư mục C:\Redirect, Share Everyone – Full Control

B2 – Mở Group Policy Management, chuột phải OU NHANSU, chọn Create a GPO in this domain, and Link it here

B3 – Đặt tên Deploy Folder Redirection, chọn OK

B4 – Chuột phải GPO Deploy Folder Redirection, chọn Edit

B5 – Mở theo đường dẫn User Configuration > Policies > Windows Settings > Folder Redirection. Ở khung bên phải, chuột phải Documents, chọn Properties

B6 – Ở mục Setting, chọn Basic – Redirect everyone’s folder to the same location. Ở mục Target Folder Location, chọn Create a folder for each user under the root path. Ở mục Root Path, nhập vào đường dẫn: \\192.168.1.1\Redirect, sau đó chọn OK, chọn Yes

B7 – Kiểm tra:

+ Trên cả 2 máy PC01 và PC02, mở Run, gõ lệnh gpupdate /force. Restart máy PC02

+ Trên máy PC02, Sign In DOM01\u1. Mở File Explorer, chuột phải Documents, quan sát đường dẫn ở mục Location

3. Cấu hình Script
3. Cấu hình Script

B1 – Tạo thư mục C:\Script. Share Everyone – Full Control

B2 – Tạo file hello.vbs với nội dung như bên dưới

B3 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit

B4 – Mở theo đường dẫn User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff), double click Logon

B5 – Nhấn Add, nhập vào đường dẫn đến file vbs: \\192.168.1.1\Script\hello.vbs, chọn Open, sau đó chọn OK

B6 – Restart máy PC02. Sign In DOM01\u1, quan sát thấy script log on xuất hiện

4. Cấu hình Audit Policy

4. Cấu hình Audit Policy

a. Audit account logon events

B1 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit

B2 – Mở theo đường dẫn Computerr Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy, double click Audit account log on events

B3 – Đánh dấu chọn vào ô Define these policy settings, sau đó check 2 ô Success và Failure, chọn OK

B4 – Mở Run, gõ lệnh gpupdate /force

B5 – Trên máy PC02, restart lại máy. Sign In DOM01\u1, cố tình nhập sai mật khẩu

B6 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Event Viewer

B7 – Mở theo đường dẫn: Windows Logs, chọn Security. Quan sát thấy event báo user u1 không chứng thực được

B8 – Trên máy PC02, Sign In DOM01\u1, nhập đúng mật khẩu

B9 – Trên máy PC01, kiểm tra thấy event Audit Success do user u1 đăng nhập thành công

b. Audit object access

B1 – Tạo thư mục C:\Data. Share Everyone – Full Control. Trong folder Data tạo 2 file t1.txt, t2.txt

B2 – Phân quyền NTFS: Cho user u2 quyền Modify, chọn OK

B3 – Chọn Advanced. Qua tab Auditing, chọn Add

B4 – Cấu hình như bên dưới, chọn OK 4 lần

B5 – Mở Group Policy Management. Chuột phải Default Domain Policy, chọn Edit

B6 – Mở theo đường dẫn Computerr Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy, double click Audit object access

B7 – Đánh dấu chọn vào ô Define these policy settings, sau đó check 2 ô Success và Failure, chọn OK

B8 – Mở Run, gõ lệnh gpupdate /force

B9 – Kiểm tra:

– Trên máy PC02, restart lại máy. Sign In DOM01\u1, truy cập \\192.168.1.1\Data. Xóa file t1.txt, bị báo lỗi

– Trên máy PC01, mở Server Manager, vào menu Tools, chọn Event Viewer.

– Mở theo đường dẫn Windows Logs, chọn Security. Quan sát event Audit Failure

Trên máy PC02, Sign Out DOM01\u1. Sign In DOM01\u2, truy cập \\192.168.1.1\Data. Xóa file t1.txt, xóa thành công

– Trên máy PC01, quay lại Event Viewer, quan sát thấy event Audit Success

Hoàn Tất Bài Lab

Lab Windows Server Hybrid

Exit mobile version