Biển xanh ... cát trắng
|
Tổng quan về Group Policy - từ đơn giản đến phức tạp !
Group Policy
Group Policy and the Active Directory services infrastructure in Windows Server 2003 enable IT administrators to automate one-to-many management of users and computers—simplifying administrative tasks and reducing IT costs. With the debut of Group Policy Management Console (GPMC), policy-based management is even easier. Administrators can efficiently implement security settings, enforce IT policies, and distribute software consistently across a given site, domain, or range of organizational units.
http://www.microsoft.com/windowsserv...y/default.mspx
http://support.microsoft.com/kb/307882
SYSTEM POLICY
Các system policy được MS sáng chế ra từ thời Windows 95 và NT 4 (trong NT 3.51 trở về trước, chưa có khái niệm system policy). Chúng là một tập hợp các chỉ thị mà các quản trị viên mạng NT 4 và NetWare có thể đặt ra để kiểm soát các máy khách Windows 9x/Me hoặc NT 4 trong mạng của họ thông qua việc phủ chế (override) một số thiết định (setting) về người dùng và máy trong Registry tại chỗ của các máy khách ấy. Việc kiểm soát này thường là: tạo cho người dùng trên máy khách đó một menu Start/Programs đặc biệt và/hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng (ví dụ: cấu hình của phần mềm khách nối mạng, khả năng cài đặt hoặc định cấu hình cho các dịch vụ file and printer sharing) cho nhiều máy một cách tập trung, v.v..
Các system policy có thể được áp dụng cho riêng từng người dùng hay cho cả một nhóm người dùng. (Trong các tài liệu được viết từ thời 9x/Me và NT 4 về system policy , các system policy dành cho nhóm cũng được gọi là group policy, nhưng nó không mang ý nghĩa giống như group policy trong Win2K/XP/2003). Các chỉ thị system policy, nếu có, phải được qui định trong một file có phần mở rộng là .POL (mặc định là CONFIG.POL đối với 9x/Me, và là NTCONFIG.POL đối với NT 4). File .POL cần thiết được người quản trị mạng sử dụng trình System Policy Editor (POLEDIT.EXE) để tạo ra (và chỉnh sửa sau này nếu cần). Nếu là system policy dành cho nhóm, thì người quản trị viên tạo file .POL trên một máy khách thích hợp nào đó (CONFIG.POL được tạo trên máy 9x/Me, NTCONFIG.POL được tạo trên máy NT 4), rồi đặt nó vào share NETLOGON của mọi máy DC (đối với mạng NT 4) hoặc vào thư mục PUBLIC trên các máy server (đối với mạng NetWare). Khi một người dùng trên các máy khách khác đăng nhập vào mạng, file .POL đó mặc định sẽ tự động được chép về máy khách ấy, và thế là các thiết định system policy trong đó sẽ phủ chế các thiết định có liên quan (về người dùng hay về máy) trong Registry của máy ấy. Người quản trị viên mạng cũng có thể thiết lập những system policy chứa những thiết định độc đáo khác nữa, đặc trưng cho mạng của mình.
Chú ý rằng, máy Windows 9x/Me (hoặc NT 4) nếu được cài đặt độc lập thì không có CONGIG.POL (hoặc NTCONFIG.POL). Chỉ khi máy đó được nối vào một mạng có đặt file đó ở chỗ thích hợp (là NETLOGON của máy PDC NT 4 hoặc PUBLIC của máy preferred server NetWare), thì nó mới chép file đó về máy mình, và file đó trở thành một phần bổ sung thêm cho Registry của máy tại chỗ. Nếu không nối mạng client/server, Registry của máy Win9x/Me chỉ bao gồm 2 file là SYSTEM.DAT và USER.DAT, còn Registry của máy NT 4 chỉ bao gồm 7 file: SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, USERDIFF, và NTUSER.DAT (không kể các file phụ thuộc, chẳng hạn như các file .DAO, .ALT, .SAV, ...). Cho dù file CONFIG.POL hoặc NTCONFIG.POL bị xóa khỏi thư mục NETLOGON hoặc PUBLIC, thì các system policy vẫn còn tác dụng đối với máy trạm của người dùng, bởi vì CONFIG.POL hoặc NTCONFIG.POL đã được chép vào máy trạm của người dùng, và Registry của máy trạm đó đã bị thay đổi permanently theo đó rồi.
Trong những mạng Active Directory Win2k hoặc WinS2k3, nếu vẫn còn các máy khách Win9x/Me và/hoặc NT 4 thì quản trị viên vẫn phải dùng các system policy để kiểm soát, bởi vì các máy đó không hiểu các group policy trong Win2k hoặc WinS2k3. Chỉ có các máy khách Win2k/XP/WinS2k3 mới hiểu được các group policy mà thôi. (Các máy khách Win2k/XP/WinS2k3 cũng sẽ tìm, tải xuống, và thi hành các system policy, nhưng CHỈ KHI không có group policy nào hiện diện trong mạng đó cả). Các mạng NT 4 thì chẳng bao giờ chứa bất kỳ group policy nào.
GROUP POLICY
Group policy có thể được coi là một thứ system policy phiên bản 2. Các chính sách này được MS phát minh ra kể từ Win2k, và chỉ có ý nghĩa đối với các máy Win2k/XP/WinS2k3. Chúng khác biệt với các system policy như sau:
_ Các group policy chỉ có thể hiện hữu trên miền Active Directory, ta không thể đặt chúng lên miền NT 4.
_ Các group policy làm được nhiều chuyện hơn các system policy. Ví dụ: có thể dùng các group policy để triển khai (deploy) phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình chạy trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như My Computer, My Documents chẳng hạn) v.v...
_ Không giống như các system policy, các group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.
_ Các group policy được áp dụng thường xuyên hơn các system policy. Các system policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác nữa trong suốt ngày làm việc (một cách tự động).
_ Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được _ hoặc không được _ nhận một group policy nào đó.
_ Group policy tuy hay ho hơn system policy, nhưng chỉ áp dụng được với
các máy Win2k/XP/WinS2k3 mà thôi (và đòi hỏi các máy đó phải thuộc một miền AD nào đó, mặc dù không có AD thì vẫn có thể áp dụng một số hạn chế các "chính sách tại chỗ" _ local policy), không áp dụng được với các máy Windows tiền-2k.
Tuy trong tên của nó có từ "group", nhưng các group policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit) (MS đã chế ra một acronym để chỉ chúng: SDOU). (Nói "chủ yếu" là vì, thực ra cũng có thể áp dụng chúng cho các nhóm người dùng, nhưng phải sử dụng kỹ thuật lọc chận chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng sau này, và làm chậm quá trình đăng nhập của người dùng mạng). Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy, nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau sẽ override các policy được áp dụng trước.
Các group policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (group policy object _ GPO), và các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL (SYSVOL trong Win2K/WinS2k3 là sự thay thế cho NETLOGON trong NT 4). Phần nằm trong share SYSVOL của mỗi GPO bao gồm một số file và thư mục con bên trong thư mục WindowsINNTSYSVOLsysvolDomainnamePoliciesGUID , trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO đó. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm trong thư mục %Windir%System32GroupPolicy.
Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC (hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy).
Trên đây chỉ là một số nét sơ lược về system policy và group policy thôi, chứ thực ra trong khuôn khổ một bài
viết, chẳng ai có khả năng giải thích đầy đủ về mọi khía cạnh của chúng. Muốn bàn về mỗi loại policy đó, cần đến
một hoặc vài chương sách. Thậm chí, có người đã viết nguyên một cuốn sách để bàn về Group Policy trong
Win2k/WinXP/WinS2k3. Trong cuốn "Làm chủ Windows Server 2003", chúng tôi cũng bàn về các khái niệm và cách ứng dụng system policy và group policy tập trung trong các chương 8, 9, 12, và rải rác trong một số chương khác.
Không có tác giả - st internet
Quản trị hệ thống với Group Policy trong Windows XP
Trong Windows XP có một công cụ khá hay, đó là Group Policy (GP). Nhiều người sử dụng Windows đã lâu nhưng chưa hề biết có công cụ này vì không tìm thấy nó trong Control Panel, Administrative Tools hay System Tools. GP là một trong các thành phần của Microsoft Management Console và bạn phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này. Nếu không, bạn sẽ nhận được thông báo lỗi sau:
Khởi động chương trình: Có 2 cách khởi động chương trình.
Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau đó vào trình đơn File, chọn Open. Trong cửa sổ Open, nhấn nút Browse rồi tìm đến thư mục System32. Bạn sẽ thấy nhiều tập tin xuất hiện có phần mở rộng là *.msc. Các tập tin dạng này là những thành phần được tạo bởi Microsoft Management Console. Nếu để ý, bạn sẽ thấy một số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai công cụ này nằm trong Adminstation Tools)... và còn nhiều nữa. Trong phạm vi của bài viết này, bạn cần chọn gpedit.msc để mở Group Policy.
Cách 2: Nếu bạn làm việc thường xuyên với GP thì cách này sẽ nhanh hơn. Vào menu Start > chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình. Khi chương trình đã khởi động, bạn sẽ thấy cửa sổ giao diện như hình bên dưới:
Chương trình được phân theo dạng cây và rất dễ dùng. Nếu sử dụng các phần mềm như Security Administrator, TuneUp Utilities,... bạn sẽ thấy hầu hết các tùy chọn cấu hình hệ thống đều nằm trong GP. Và bạn hoàn toàn có thể sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm trên.
* Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho tính năng đó, Enable để kick hoạt tính năng, Disable để vô hiệu hóa tính năng.
* Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. Trong nhánh này chứa nhiều nhánh con như:
+ Windows Settings: bạn sẽ cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
+ Administrative Templates:- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting...
- System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào, bạn cũng cần phải tìm hiểu thật kỹ về nó. Bạn có thể chọn thành phần rồi nhấp chuột phải để chọn Help.
Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này.
Mặc định thì tình trạng ban đầu của các thành phần này là “Not configured”. Để thay đổi tình trạng cho thành phần nào đó, bạn chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình).
* User Configuration: giúp bạn cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.
Phần I: Computer Configuration:
Windows Setting:
Tại đây bạn có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
+ Scripts (Startup/Shutdown):
Bạn có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown.
+ Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.
Name Tóm tắt tính năng
Account Policies Các chính sách áp dụng cho tài khoản của người dùng.
Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.
Public Key Policies Các chính sách khóa dùng chung
Sau đây chúng ta sẽ lần lượt đi vào tìm hiểu chi tiết từng phần nhỏ của nó.
1. Account Policies: Thiết lập các chính sách cho tài khoản
a> Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.
Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42.
Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Bạn cần thiết lập “Minimum password age” lớn hơn không nếu bạn muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu bạn không sử dụng mật khẩu. Giá trị mặc định là 0.
Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau:
- Không chứa tất cả hoặc một phần tên tài khoản người dùng
- Độ dài nhỏ nhất là 6 ký tự
- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt.
Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable.
Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable.
b> Acount lockout Policy:
* Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.
* Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.
* Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.
2. Local Policies: Các chính sách cục bộ:
User rights Assignment: Ấn định quyền cho người sử dụng.
Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.
* Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.
* Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.
* Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain.
* Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices).
* Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
* Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu.
* Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống.
* Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung
* Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa.
* Shut down the system: Cho phép ai có quyền Shutdown máy.
Và còn rất nhiều chính sách khác nữa đang chờ bạn khám phá.
Nguyễn Quang Duy – IITM
1. Thao tác về Internet Explorer (IE).
Tìm nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User Interface
- Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái tên như AAA. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer provided by AAA"!
- Custom logo: bạn có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay 38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the animated bitmaps" dành cho hình động.
Tìm nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer
- Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại Internet Options như General, Security... Nếu không giấu thẻ General, bạn có thể quay lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô hiệu hóa việc thay đổi trang chủ IE.
- Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên thanh công cụ của IE.
Tìm nhánh Computer Configuration/Administrative Templates/Windows Components/Internet Explorer
- "Security Zone: Use only machine settings": bắt buộc tất cả các user đều phải chung một mức độ security như nhau.
- "Security Zone: Do not allow users to add/delete sites": trong Security Zone có danh sách các site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách đó (cách tốt nhất là giấu luôn thẻ Security).
- "Disable Periodic Check for Internet Explorer software updates": ngăn không cho IE tự động tìm phiên bản mới của nó.
2. Thao tác về Windows Explorer.
Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Explorer:
- Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong My Recent Documents.
- Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle Bin.
- Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn vị phần trăm dung lượng của ổ đĩa cứng.
- Hide the dropdown list of recent files trong folder Common Open File Dialog: không cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...)
3. Thao tác về Logon.
Tìm nhánh Computer Configuration/Administrative Templates/Logon
- Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống Windows 2000.
- Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu.
4. Thao tác về System Restore.
Tìm nhánh Computer Configuration/Administrative Templates/System Restore
- Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất hiện thông báo "System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator".
- Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore.
5. Thao tác về Windows Media Player.
Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Media Player
- Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho Windows Media Player.
- Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự động tải các codec.
Hoàng Kim Hoàn
Điều khiển đặc quyền tài khoản Administrator
Theo Security-olala.vn
Tài khoản Administrator có thể làm gì và được phép truy cập những gì?
Có hàng trăm, thậm chí hàng nghìn tài khoản Administrator trên mạng ngày nay. Bạn có thể điều khiển các tài khoản để biết chúng có khả năng làm những gì và được phép truy cập những gì?
Vì sao lại là điều khiển tài khoản Administrator?
Nếu là người quản trị các mạng Windows, có thể bạn đặc biệt quan tâm tới thành phần Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật liên quan như domain controller (bộ điều khiển miền), server (máy chủ), service (dịch vụ), application (ứng dụng) và Internet connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian bạn sẽ hiểu được cách kiểm soát các Administrator trong doanh nghiệp của mình một cách phù hợp và chính xác nhất.
Lý do các tài khoản này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản Administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp.
Bạn có bao nhiêu tài khoản Administrator?
Để tìm ra câu trả lời cho câu hỏi này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với các máy tính để bàn sử dụng Windows với một tài khoản Administrator cục bộ. Đó là Windows NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng bởi “admin”, các nhà phát triển, nhân viên và cả trong phạm vi máy chủ hoạt động như một thiết bị ứng dụng hay dịch vụ. Cả một quán Internet công cộng hay các máy tính dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc trung tâm hóa, cũng được xét đến trong phạm vi này. Đừng đếm tài khoản người dùng ở đây, vì số thiết bị có thể không khớp với số người dùng.
Bây giờ cần xem xét đến số server bạn có (lúc này chưa tính đến các domain controller). Với server, bạn cần quan tâm đến nhiệm vụ cụ thể của nó: lưu trữ dữ liệu, in ấn, ứng dụng, sở hữu dịch vụ, hoạt động như một văn phòng hay mail, fax,… Mỗi thiết bị này đều có một SAM và một tài khoản Administrator cục bộ. Tài khoản này không được dùng thường xuyên, nhưng như thế có khi lại càng cần được điều khiển đặc quyền.
Cuối cùng, bạn cần xem đến các domain controller. Trên bộ phận điều khiển miền này (cũng là một kiểu máy chủ) có một tài khoản Administrator quan trọng, là tài khoản điều khiển Active Directory. Ngoài ra còn là domain gốc và đóng vai trò quản trị chính cho doanh nghiệp. Nếu bạn có nhiều hơn một domain, mỗi domain sẽ có một tài khoản Administrator quan trọng này. Tài khoản Administrator tiếp theo chỉ điều khiển điện nguồn ở domain nhưng cũng có tác động rất manh.
Giới hạn đặc quyền đăng nhập
Bạn không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chứa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp.
Giới hạn khả năng truy cập Administrator cục bộ
Cho dù bạn có cho phép người dùng tiêu chuẩn quyền “admin access” (truy cập với vai trò admin) vào máy tính của họ hay không, bạn vẫn cần giới hạn quyền truy cập tài khoản Administrator cục bộ. Có hai cách dễ dàng là thay đổi tên tài khoản Administrator local hoặc thay đổi mật khẩu thường xuyên. Có một nhóm các đối tượng Group Policy Object (GPO) cho từng kiểu thiết lập này. Đầu tiên là vào Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options như trong Hình 1. Phần chính sách bạn muốn cầu hình là Accounts: Rename Administrator Account (thay đổi lại tên tài khoản Administrator).
Hình 1: Cấu hình lại để thay đổi tên cho tài khoản Administrator
Chính sách thứ hai bạn cần để cấu hình là các thiết lập policy mới sẽ ra mắt vào cuối năm 2007. Chính sách này là một phần trong bộ PolicyMaker, được đặt trong Computer Configuration| Windows Settings| Control Panel| Local Users and Groups như minh họa ở Hình 2.
Hình 2: Cấu hình để thiết lập lại mật khẩu cho tài khoản Administrator cục bộ
Chú ý: Điều này không ngăn cản được người dùng tiêu chuẩn điều khiển định kỳ tài khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control trên máy tính.
Giảm quyền truy cập mạng
Như đã nói ở trên, tài khoản Administrator không nên sử dụng hàng ngày. Do đó, không có lý do gì để cấu hình cho phép tài khoản này truy cập trên toàn bộ mạng. Một cách hay để giới hạn là không cho phép tài khoản Administrator truy cập server và domain controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm trong Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên “ Deny Access to this computer from Network” (Từ chối truy cập mạng trên máy tính này).
Hình 3: Cấu hình từ chối quyền truy cập mạng bằng tài khoản Administrator trên máy tính.
Các cấu hình khác
Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập tài khoản Administrator trên mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau:
• Không dùng tài khoản Administrator như là một tài khoản dịch vụ.
• Từ chối truy cập Terminal Services trên server hoặc domain controller.
• Từ chối khả năng đăng nhập như một dịch vụ trên server và domain controller cho tài khoản Administrator.
• Từ chối đăng nhập như một job batch (công việc theo lô) cho tài khoản Administrator.
Các thiết lập này sẽ giới hạn phạm vi tác động của tài khoản Administrator trên máy tính hay trên mạng. Chúng không ngăn cản người dùng có đặc quyền admin cấu hình quyền truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình của Administrator, cũng như khi tài khoản này được dùng để đăng nhập và sử dụng User Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy chúng trong Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy như Hình 4.
Hình 4: Thiết lập chính sách kiểm định việc dùng và quản lý tài khoản.
Tóm tắt
Administrator là tài khoản mạnh nhất, có tác động lớn nhất trong thế giới của hệ điều hành Windows. Nhưng cũng do tác động lớn của nó mà bạn nên giới hạn chỉ dùng khi thực sự cần đến nó. Như trong việc phục hồi nếu gặp sự cố hay cấu hình ban đầu. Để thực hiện hoạt động giới hạn này, bạn cần đến các thiết lập bổ sung kiểm soát quyền sử dụng và truy cập Administrator. Group Policy là cơ chế có tác dụng phân phối các thiết lập hạn chế đặc quyền tới tất cả các máy tính cần giới hạn Administrator. Chỉ cần các thiết lập được tạo một cách phù hợp, tài khoản Administrator sẽ được kiểm soát, không chỉ trong hoạt động mà ngay cả khi muốn theo dõi nếu có kẻ xâm phạm nào đó muốn tấn công mạng của bạn mà không cần tài khoản nào.
Quản lý Windows Firewall với Group Policy
Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web.
Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép bạn có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy Object).
Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp thoại này, bạn có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và Standard Profile.
• Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD
• Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng.
Những thiết lập này cho phép bạn cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, bạn có thể chọn một thiết lập và xem mô tả về nó.
Sau đây là một vài tính năng của Windows Firewall hữu ích mà bạn nên kích hoạt:
• Windows Firewall: Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh
• Windows Firewall: Do not allow exceptions: Tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel.
• Windows Firewall: Define program exceptions Properties: Thiết lập cho phép bạn tùy chọn chỉ định các chương trình, giúp bạn cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa.
• Windows Firewall: Prohibit notifications: Thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu Windows Firewall bổ sung nó vào danh sách các chương trình cho phép.
• Windows Firewall: Allow logging: Tùy chọn cho phép bạn cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường lửa, kích cỡ bản ghi, tên và vị trí.
Nếu muốn tìm hiểu thêm chi tiết về Windows Firewall có trong Windows XP Service Pack 2 hay Windows 2003 SP1, bạn có thể xem tại đây:
http://www.microsoft.com/technet/pro...7af1445d0.mspx
THANH TRỰC
Hack Group Policy và phương pháp phòng chống
Việc sử dụng Group Policy là một việc làm cần thiết, khi biết cách trống ảnh hưởng (hack group policy) bạn sẽ biết các phương pháp phòng chống việc này bằng các phương pháp khác nhau của nhà quản trị.
Tôi nghĩ tất cả mọi người sẽ đồng ý là Group Policy được ưu tiên và là một phương pháp để cấu hình một chuẩn cho tất cả các máy tính trong hệ thống. Group Policy cũng là một con đường duy nhất để thiết lập cấu hình bảo mật cho toàn bộ máy tính của doanh nghiệp. Với việc tạo ra một "chuẩn chung" và bảo mật được thực hiện với Group Policy là tương đối dễ dàng, nhưng nó vô cùng quan trọng trong việc cấu hình các thiết lập một cách chuẩn xác cho toàn bộ máy tính trong doanh nghiệp. Một vài trường hợp, Group Policy có thể bị điều khiển bởi người dùng tại máy Local, và điều đó có thể dẫn đến những sai phạm về bảo mật và các thành phần khác. Ở đây chúng tôi giới thiệu là làm cách nào để bạn có quyền thiết lập các chính sách (policy) và sử dụng các chính sách đó vào những hoàn cảnh cụ thể.
Typical Group Policy Application
Các thiết lập của Group Policy thực chất là việc thay đổi trong Registry và được cung cấp từ Domain Controller. Một đối tượng (máy tính hay người dùng) sẽ nhận được các thiết lập đó, và chịu sự ảnh hưởng của việc thiết lập đó với toàn bộ máy tính họ sử dụng. Khi một Group Policy Object khác được tạo ra, nó sẽ được tự động cập nhật các thiết lập với đối tượng người dùng hay máy tính. Quá trình trên hoạt động chuẩn xác cho đến khi người dùng có đặc quyền là administrator của máy tính đó, và truy vấn vào Registry chỉnh sửa lại trong đó khi đó sẽ làm thay đổi các thiết lập chuẩn của Group Policy.
Manual Hacks to the Registry
Khi một người dùng tại máy Local tự chỉnh sửa Registry và ghi đè lên các thiết lập của Group Policy Object, họ sẽ có khả năng thực hiện được việc đó nếu có đặc quyền quản trị (administrative privileges) với máy tính họ đang ngồi. Và theo lý tưởng bạn là người quản trị nếu muốn cả hệ thống hoạt động một chuẩn hoá chung thì bạn không trao quyền quản trị máy tính họ cho họ. Tuy nhiên nếu bạn trao cho họ đặc quyền quản trị máy tính thì bạn sẽ phải dự báo được trước những vấn đề xảy ra khi bạn áp dụng Group Policy.
Trong trường hợp các máy local thay đổi Registry sẽ gây ảnh hưởng đến quá trình áp dụng Group Policy. Vì khi một Group Policy thực hiện quá trình tự động làm tươi, nó chỉ kiểm tra các phiên bản của Group Policy Object, nếu không có sự thay đổi nào của các phiên bản Group Policy Object thì nó sẽ không nâng cấp. Tuy nhiên việc các máy Local tự ý thay đổi trong Registy thì nó hoàn toàn không phát hiện ra và sẽ không ghi đè lên các thiết lập đó trong quá trình làm tươi của Group Policy Object.
Ensuring Group Policy Settings Apply
Để chắc chắn một điều là các thiết lập chuẩn và các chính sách bảo mật luôn được ghi đè lên các thiết lập của các máy tính trong hệ thống, bạn có thể tạo thêm một Group Policy Object mới và cung cấp thiết lập đó cho toàn bộ hệ thống. Đó là một cách làm kỳ cục nhưng việc này sẽ ghi đè lên việc tự ý thay đổi các thiết lập trong Registry tại các máy Local.
Và lời khuyên trước khi bạn tạo ra một chính sách, bạn có thẻ chọn các thiết lập mà bạn muốn ảnh hưởng. Một bài hướng giải quyết tốt là tạo thiết lập cho bảo mật và những thiết lập cho Registry. Thêm nữa bạn cần lưu một bản lại để sau đó bạn sẽ có một bản chuẩn khi cần thiết sẽ sử dụng để ghi đè lên các thiết lập của máy local.
Những thiết lập của bạn cần phải thực hiện ở trong Computer Configuration, Administrative Templates, System, Group Policy.
Một Group Policy Object bạn sẽ nhìn thấy nhiều chính sách thiết cần được thiết lập với dạng "* policy processing". Sau khi mở một policy, bạn sẽ có thể enable policy đó và lựa chọn "Process even if the Group Policy object have not changed", với lựa chọn này việc áp dụng các chính sách sẽ được thực hiện ghi đè lên toàn bộ các tự động thay đổi trên máy Local.
Start Applying
Chắc chắn các thiết lập trong Group Policy luôn luôn được áp dụng cho hệ thống của mình là điều vô cùng quan trọng. Khi bạn chưa thạo về cấu hình hệ thống, các thiết bị bảo mật... Việc áp dụng Group Policy tạo ra một cấu hình chung cho cả hệ thống sẽ giúp bạn nhàn đi rất nhiều trong việc bảo vệ hệ thống trước các cuộc tấn công.
N.D vnExperts
http://www.computerperformance.co.uk...p_policies.htm
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy:
Giới thiệu
Bài này này sẽ hướng dẫn từng bước cho bạn cách làm thế nào để kiểm soát được vấn đề cài đặt và sử dụng thiết bị trên các máy tính mà bạn đang quản lý. Đặc biệt, trong Microsoft Windows Server 2008 và Windows Vista™ bạn có thể áp dụng chính sách máy tính cho việc:
• Ngăn chặn người dùng cài đặt các thiết bị
• Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đó không được liệt kê trong danh sách thì người dùng không thể cài đặt nó.
• Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đó không có trong danh sách thì người dùng có thể cài đặt.
• Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết bị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như điện thoại thông minh hoặc Pocket PC.
Hướng dẫn này sẽ giới thiệu quá trình cài đặt thiết bị và giới thiệu các chuỗi nhận dạng mà Windows sử dụng để ánh xạ với mỗi gói phần mềm cài đặt thiết bị trên từng máy tính. Hướng dẫn này cũng minh họa 3 phương pháp trong việc kiểm soát thiết bị. Mỗi một phương pháp đều thể hiện từng bước để bạn có thể sử dụng để cho phép hoặc ngăn chặn việc cài đặt một thiết bị cụ thể hoặc một lớp các thiết bị. Một số kịch bản thể hiện cho bạn cách làm thế nào để từ chối việc đọc, ghi đối với các thiết bị có thể cầm tay của người dùng ví dụ như các thiết bị lưu trữ USB. Bạn cũng có thể thực hiện các bước trong hướng dẫn này bằng sử dụng một thiết bị khác. Tuy nhiên nếu sử dụng một thiết bị khác thì đôi khi những hướng dẫn này sẽ không đúng một cách chính xác với giao diện người dùng xuất hiện trên máy tính.
Quan trọng
Các bước đã cung cấp trong hướng dẫn này được dự định cho môi trường kiểm tra phòng thí nghiệm. Hướng dẫn từng bước không có nghĩa là được sử dụng để triển khai các tính năng Windows Server mà không cần đến các tài liệu minh chứng khác và phải được sử dụng một cách thận trọng.
Những ai có thể sử dụng hướng dẫn này?
Hướng dẫn này nhằm vào các đối tượng dưới đây:
• Những người lập kế hoạch và phân tích CNTT, những người đang đánh giá Windows Vista và Windows Server 2008
• Những người hoạch định kế hoạch và thiết kế CNTT hoạt động kinh doanh.
• Các kiến trúc sư an ninh bảo mật, những người có trách nhiệm bổ sung việc tính toán tin cậy trong tổ chức của họ.
• Các quản trị viên, người muốn tìm hiểu về công nghệ.
Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group Policy
Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:
• Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản các thiết bị khi sử dụng Group Policy.
• Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn xộn.
Tổng quan về kịch bản (Scenario)
Kịch bản được đưa ra trong hướng dẫn này minh chứng cho bạn cách làm thế nào để kiểm soát cài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trên máy tính cục bộ để đơn giản hóa việc sử dụng các thủ tục trong môi trường thử nghiệm. Trong môi trường quản lý nhiều máy tính client, bạn phải áp dụng các thiết lập đó bằng sử dụng Group Policy được triển khai cho Active Directory. Với Group Policy được triển khai bởi Active Directory bạn có thể áp dụng các thiết lập đối với tất cả máy tính là thành viên của một miền hoặc của một tổ chức trong miền.
Dưới đây là các chỉ dẫn về kịch bản được thể hiện trong hướng dẫn này:
• Ngăn cài đặt tất cả các thiết bị
Trong kịch bản này, quản trị viên muốn ngăn chặn người dùng chuẩn cài đặt bất kỳ thiết bị nào nhưng cho phép các quản trị viên có thể cài đặt và nâng cấp thiết bị. Để hoàn thiện kịch bản này bạn phải cấu hình hai chính sách máy tính. Chính sách đầu tiên ngăn chặn tất cả người dùng cài đặt thiết bị và chính sách thứ hai miễn cho quản trị viên các hạn chế đó.
• Cho phép người dùng chỉ cài đặt các thiết bị được cho phép.
Trong kịch bản này, quản trị viên muốn cho phép người dùng chỉ cài đặt các thiết bị có trong danh sách thiết bị được phép. Kịch bản này được xây dựng trên kịch bản đầu tiên và vì vậy bạn phải hoàn tất kịch bản đầu trước khi thực hiện kịch bản này. Để hoàn tất kịch bản này, bạn phải tạo một danh sách các thiết bị được phép cài để người dùng chỉ có thể cài đặt thiết bị đã chỉ rõ đó.
• Ngăn chặn cài đặt các thiết bị được ngăn cấm.
Trong kịch bản này, quản trị viên muốn cho phép người dùng chuẩn cài đặt hầu hết tất cả các thiết bị trừ thiết bị được liệt kê trong danh sách ngăn cấm. Để thực hiện kịch bản này bạn phải bỏ các chính sách đã tạo trong hai kịch bản đầu tiên. Sau khi đã thực hiện việc bỏ hai chính sách đầu tiên đó, bạn tạo một danh sách các thiết bị ngăn cấm để người dùng có thể cài đặt bất kỳ thiết bị nào ngoại trừ những thiết bị có trong danh sách cấm của bạn.
• Kiểm soát sử dụng các thiết bị lưu trữ có thể tháo rời
Trong kịch bản này, quản trị viên muốn ngăn không cho người dùng chuẩn ghi dữ liệu vào thiết bị lưu trữ có thể tháo rời như USB, các đĩa CD, DVD có thể ghi. Để thực hiện kịch bản này bạn phải cấu hình một chính sách cho phép truy cập có thể đọc nhưng từ chối truy cập, ghi đối với các thiết bị mẫu và đối với bất kỳ thiết bị ghi CD, DVD nào trên máy tính của bạn.
VanLinh_microsoft
Tổng quan về công nghệ
Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ được thảo luận trong hướng dẫn này.
Cài đặt thiết bị trong Windows
Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép, loại nào khóa.
Hai loại nhận dạng đó là:
Các chuỗi nhận dạng thiết bị
Các lớp thiết lập thiết bị
Các chuỗi nhận dạng thiết bị
Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được chứa trong gói cài đặt.
Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại chuỗi nhận dạng thiết bị:
ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.
ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ bản nhất của thiết bị.
Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm, Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.
Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng.
Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong đợi từ sự cố gắng cài đặt.
Các lớp cài đặt thiết bị
Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị của bus đến thiết bị được gắn.
Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức năng riêng lẻ.
Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị.
Các Group Policy cho cài đặt thiết bị
Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista và Windows Server 2008 đã đưa ra một số thiết lập chính sách. Bạn có thể cấu hình những thiết lập này riêng trên các máy tính đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group Policy trong miền Active Directory.
Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object Editor để cấu hình và áp dụng các thiết lập chính sách.
Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong hướng dẫn này.
Lưu ý
Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.
Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow installation of devices that match these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động).
Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.
Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho phép bởi các thiết lập chính sách.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.
Prevent installation of drivers matching these device setup classes (Ngăn chặn cài đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê. Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập chính sách khác.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách khác cho phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt.
Allow installation of devices that match any of these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà người dùng có thể cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị. Nếu bạn sử dụng thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách. Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không.
Allow installation of devices using drivers for these device classes (Cho phép cài đặt thiết bị sử dụng driver cho các lớp thiết bị). Thiết lập chính sách chỉ ra một danh sách các GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn người dùng cài đặt thiết bị. Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt và nâng cấp thiết bị với một lớp cài đặt tương ứng với một trong các GUID lớp cài đặt trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không.
Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cách Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không:
Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài
Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đó được sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm.
Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi người dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giới hạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trong môi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tài khoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các chính sách đó đến một số lượng lớn máy tính.
Quan trọng
Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạy trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềm chạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Ví dụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi) sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trình cài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những hạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên.
Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởi động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách này có thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách để bắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính. Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi động lại bị bỏ qua.
Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer ConfigurationAdministrative TemplatesSystemRemovable Storage Access ảnh hưởng lên một máy tính và những người dùng đăng nhập vào. Các chính sách trong User ConfigurationAdministrative TemplatesSystemRemovable Storage Access chỉ ảnh hưởng đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp dụng sử dụng Active Directory.
Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với các ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một cho từ chối ghi.
Time (in seconds) to force reboot. Thiết lập số lượng thời gian (bằng giây) mà hệ thống đợi khởi động lại để bắt buộc đối với sự thay đổi trong các quyền truy cập thiết bị lưu trữ ngoài. Khởi động lại chỉ bắt buộc nếu các chính sách hạn chế không được áp dụng mà không có nó.
Lưu ý
Nếu không bắt buộc phải khởi động lại máy tính và các chính sách không thể được áp dụng do thiết bị đang sử dụng thì sự thay đổi không gây ảnh hưởng cho tới khi hệ thống được khởi động lại. Nếu sự thay đổi của chính sách ảnh hưởng đến nhiều thiết bị thì thay đổi phải ép buộc ngay lập tức trên tất cả các thiết bị hiện không được sử dụng. Nếu bất kỳ thiết bị bị ảnh hưởng nào đang sử dụng mà sự thay đổi không được áp dụng ngay lập tức thì chính sách khởi động lại máy tính sẽ thực hiện nếu nó được kích hoạt bởi quản trị viên.
CD and DVD. Các thiết lập chính sách này cho phép bạn từ chối việc đọc, ghi đối với những thiết bị CD và DVD, gồm có cả thiết bị được kết nối USB.
Quan trọng
Một số phần mềm ghi đĩa CD và DVD của nhóm thứ ba tương tác với phần cứng theo cách tránh sự ngăn chặn của chính sách. Nếu muốn ngăn chặn tất cả việc ghi lên đĩa CD hoặc DVD thì bạn cần phải xem xét đến việc áp dụng Group Policy để ngăn chặn cài đặt phần mềm đó.
Custom Classes. Các thiết lập chính sách này cho phép bạn từ chối việc đọc và ghi đối với bất kỳ thiết bị nào mà Device Setup Class GUID của nó được tìm thấy trong danh sách bạn cung cấp.
Floppy Drives. Các chính sách này cho phép bạn từ chối việc đọc, ghi đối với các thiết bị trong lớp ổ mềm, gồm có cả thiết bị được kết nối USB.
Removable Disks. Cho phép bạn từ chối việc đọc, ghi đối với các thiết bị di động như ổ nhớ USB hay ổ cứng USB mở rộng.
Tape Drives. Cho phép bạn từ chối việc đọc hoặc ghi vào các ổ băng từ, gồm cảthiết bị được kết nối USB.
WPD Devices. Cho phép bạn từ chối việc đọc hoặc ghi đối với các thiết bị trong lớp Windows Portable Device. Các thiết bị này gồm có thiết bị thông minh như media players, mobile phones và Windows CE,…
All Removable Storage classes: Deny all access. Thiết lập này có quyền ưu tiên hơn bất kỳ thiết lập nào khác trong danh sách, từ chối việc đọc, ghi đối với thiết bị đã được chỉ định như sử dụng các thiết bị lưu trữ ngoài. Nếu bạn vô hiệu hóa hoặc không thực hiện cấu hình thiết lập này thì việc đọc và ghi trên các lớp thiết bị lưu trữ ngoài vẫn được phép theo áp đặt bởi các thiết lập chính sách khác trong danh sách.
VanLinh-Microsoft
Các yêu cầu cho việc hoàn thành kịch bản
Để thực hiện mỗi kịch bản, bạn phải có:
• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một DMI-Client1.
• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB như một thiết bị mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và được biết đến như một ổ flash. Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài được cung cấp của nhà máy sản xuất, các thiết bị làm việc với ổ được cung cấp trong Windows Vista và Windows Server 2008.
Lưu ý
Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn trong Windows và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà sản xuất thì bạn phải cung cấp một file cài khi Windows yêu cầu thực hiện. Bước này không có trong kịch bản này.
• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa di động ở chế độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ ghi CD hoặc DVD được cài đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách máy tính có hiệu quả thì bạn phải có các ổ CD hoặc DVD để sử dụng cho mục đích kiểm tra.
• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn này gọi tài khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu quyền ưu tiên mức quản trị viên trong hầu hết các bước. Bạn phải đăng nhập vào tài khoản DMI-Client1 bằng tài khoản quản trị viên này khi bắt đầu mỗi thủ tục.
Lưu ý
Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị viên được bảo vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc định ưu tiên bảo mật không được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên cao của quản trị viên sẽ hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để thực hiện nhiệm vụ đó. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với User Account Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft khuyên rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản trị viên được đính kèm bất cứ khi nào có thể.
• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người dùng này không có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng dẫn này gọi một tài khoản này là TestUser. Chỉ đăng nhập vào máy tính của bạn với tài khoản này khi được chỉ thị để thực hiện điều đó. Với một tài khoản người dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu cầu ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau.
Các thủ tục tiên quyết
Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài đặt một thiết bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết cách để gỡ bỏ hoàn toàn cài đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ tục dưới đây cấu hình máy tính của bạn để thực thi thành công kịch bản trong hướng dẫn này.
1. Phản ứng đối với User Account Control (UAC)
Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có thể được thực hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và Windows Server 2008, khi bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các quyền quản trị viên thì sẽ xuất hiện những điều dưới đây:
• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì hoạt động được thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc định được vô hiệu hóa.
• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control xuất hiện hỏi về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được tiến hành.
• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc thực hiện nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User Account Control để cung cấp username và password cho tài khoản quản trị viên. Nếu bạn cung cấp các thông tin hợp lệ thì nhiệm vụ được chạy trong chế độ bảo mật của tài khoản quản trị viên. Nếu không cung cấp đúng các thông tin cần thiết thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.
Quan trọng
Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ quản trị viên, bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để đáp trả cho nhiệm vụ mà bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong đợi thì bạn có thể kích nút Details và bảo đảm rằng nhiệm vụ đó là một nhiệm vụ bạn mong muốn cho phép.
2. Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB
Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho thiết bị của bạn. Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không tương xứng với những gì thể hiện trong hình này, hãy sử dụng ID phù hợp với thiết bị.
Lưu ý
Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các hướng dẫn thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác với file cài sẵn có trong Windows Vista và Windows Server 2008. Nếu thiết bị yêu cầu một phần mềm cài đặt từ nhà sản xuất thì bạn phải cung cấp file cài đặt khi Windows bắt bạn thực hiện điều đó. Bước này không được giới thiệu trong kịch bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho thiết bị theo hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành, hoặc DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver Development Kit (DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng thiết bị cho ổ nhớ USB của bạn.
Quan trọng
Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một loại thiết bị khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở chúng là vị trí của thiết bị trong cấu trúc Device Manager. Thay vì định vị trong nút Disk Drives bạn phải định vị ổ trong nút thích hợp.
Tìm các chuỗi nhận dạng thiết bị bằng Device Manager
1. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.
2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất
3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là được phép và sau đó nhấn Continue.
Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã được phát hiện trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút thấp hơn thể hiện các mục khác nhau của phần cứng, trong đó các thiết bị của máy tính được nhóm theo từng nhóm.
5. Kích đúp vào Disk drives để mở danh sách
6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.
Hộp thoại Device Properties sẽ xuất hiện.
7. Kích tab Details
8. Trong danh sách Property, kích Hardware Ids.
Dưới Value, hãy lưu ý đến các chuỗi được hiển thị
Lưu ý
Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL + C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy chúng vào một file văn bản để có thể thực hiện thao tác paste khi phải chỉ rõ một bộ nhận dạng. Phương pháp này giảm đáng kể lỗi khi phải thêm một bộ cài cụ thể vào danh sách cho các thiết bị được ngăn chặn hoặc được cho phép.
9. Trong danh sách Property kích Compatible Ids.
Dưới Value, hãy chú ý vào các chuỗi được hiển thị
10. Kích OK để đóng hộp thoại.
Lưu ý
Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh DevCon. Có thể tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông tin, bạn hãy xem các chức năng tiện ích dòng lệnh DevCon tại website của Microsoft (http://go.microsoft.com/fwlink/?LinkId=56391).
Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó trong trang Microsoft Developer Network (MSDN). Để có thêm thông tin xem "DevCon" tại địa chỉ website của Microsoft.
Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn cũng có trên MSDN. Để có thêm thông tin chi tiết bạn hãy xem "DevCon HwIDs" tại website của Microsoft.
3. Gỡ bỏ cài đặt cho ổ nhớ USB
Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng USB. Trong hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm các kịch bản được bắt đầu với máy tính trong trạng thái phù hợp. Nếu thất bại trong việc gỡ bỏ cài đặt và tháo thiết bị thì các chính sách được kiểm tra trong kịch bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn thấy các kêt quả như mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn trực tiếp gỡ bỏ cài đặt và tháo thiết bị ra.
Quan trọng
Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi thực hiện bước cuối cùng.
Gỡ bỏ cài đặt driver của USB
1. Đăng nhập và máy tính DMI-Client1TestAdmin.
2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, và nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là được phép, sau đó nhấn Continue.
4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.
5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ bỏ cài đặt hoàn tất.
6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi cây danh mục trong Device Manager.
7. Rút USB của bạn ra khỏi cổng USB.
Ngặn chặn cài đặt tất cả các thiết bị
Kịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế, nơi mà sự cài đặt thiết bị bị ngăn chặn và các thiết bị đang tồn tại không thể được nâng cấp phần mềm cài đặt mới. Người dùng sẽ không thể cài đặt thiết bị và sử dụng nó mà không có sự can thiệp của quản trị viên. Các quản trị viên có thể cài đặt hoặc nâng cấp thiết bị nếu cần.
Điều kiện quyết định cho việc ngăn chặn cài đặt tất cả thiết bị
Để thực hiện các thủ tục trong kịch bản này, bạn phải gỡ bỏ cài đặt ổ nhớ USB như đã mô tả trong phần trước của hướng dẫn này.
Các bước thực hiện việc ngăn chặn này
Bước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nào
Cấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị
1. Đăng nhập vào máy tính như DMI-Client1TestAdmin.
2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, và sau đó nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị là những gì bạn muốn, sau đó nhấn Continue để tiếp tục.
4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào Computer Configuration để mở. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions.
5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by other policy settings, chọn Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó.
6. Trên tab Setting, bạn kích Enabled để vào chính sách.
7. Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor.
Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiết bị
Chính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế được áp đặt đối với các thiết lập chính sách cài đặt thiết bị, gồm có chính sách bạn vừa kích hoạt.
Cấu hình chính sách cho phép các quản trị viên ghi đè
1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override device installation policy, sau đó kích vào Properties.
Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó.
2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.
3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.
Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng.
4. Đóng Group Policy Object Editor.
Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùng
Với cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặt thiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nào
Kiểm tra kết quả thu được đối với người dùng
1. Nếu thiết bị của bạn được cài đặt, để gỡ bỏ cài đặt, thực hiện theo các bước trong phần “Gỡ bỏ cài đặt ổ nhớ USB” trong phần trước của tài liệu này.
2. Kích vào nút Start, đánh gpupdate /force trong hộp Start Search sau đó nhấn ENTER.
3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI-Client1TestUser.
4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trong Device Manager
5. Kích OK để thừa nhận thông báo.
Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.
6. Cắm ổ USB của bạn vào
Cho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Other devices
7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự cài đặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:
8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driver software (recommended).
Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng và password cho tài khoản có quyền quản trị viên.
9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua.
Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.
Phần 5: Cho phép người dùng chỉ cài đặt các thiết bị đã được phép
Phần 6: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Phần 7: Kiểm soát việc đọc và ghi lên các thiết bị di động
Văn Linh (Theo Microsoft)
Ngặn chặn cài đặt tất cả các thiết bị
Kịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế, nơi mà sự cài đặt thiết bị bị ngăn chặn và các thiết bị đang tồn tại không thể được nâng cấp phần mềm cài đặt mới. Người dùng sẽ không thể cài đặt thiết bị và sử dụng nó mà không có sự can thiệp của quản trị viên. Các quản trị viên có thể cài đặt hoặc nâng cấp thiết bị nếu cần.
Điều kiện quyết định cho việc ngăn chặn cài đặt tất cả thiết bị
Để thực hiện các thủ tục trong kịch bản này, bạn phải gỡ bỏ cài đặt ổ nhớ USB như đã mô tả trong phần trước của hướng dẫn này.
Các bước thực hiện việc ngăn chặn này
Bước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nào
Cấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị
1. Đăng nhập vào máy tính như DMI-Client1TestAdmin.
2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, và sau đó nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị là những gì bạn muốn, sau đó nhấn Continue để tiếp tục.
4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào Computer Configuration để mở. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions.
5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by other policy settings, chọn Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó.
6. Trên tab Setting, bạn kích Enabled để vào chính sách.
7. Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor.
Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiết bị
Chính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế được áp đặt đối với các thiết lập chính sách cài đặt thiết bị, gồm có chính sách bạn vừa kích hoạt.
Cấu hình chính sách cho phép các quản trị viên ghi đè
1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override device installation policy, sau đó kích vào Properties.
Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó.
2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.
3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.
Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng.
4. Đóng Group Policy Object Editor.
Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùng
Với cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặt thiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nào
Kiểm tra kết quả thu được đối với người dùng
1. Nếu thiết bị của bạn được cài đặt, để gỡ bỏ cài đặt, thực hiện theo các bước trong phần “Gỡ bỏ cài đặt ổ nhớ USB” trong phần trước của tài liệu này.
2. Kích vào nút Start, đánh gpupdate /force trong hộp Start Search sau đó nhấn ENTER.
3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI-Client1TestUser.
4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trong Device Manager
5. Kích OK để thừa nhận thông báo.
Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.
6. Cắm ổ USB của bạn vào
Cho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Other devices
7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự cài đặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:
8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driver software (recommended).
Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng và password cho tài khoản có quyền quản trị viên.
9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua.
Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.
Văn Linh (Microsoft)
Cho phép người dùng chỉ cài đặt các thiết bị đã được phép
Kịch bản này được xây dựng dựa trên kịch bản trước -"Ngăn chặn cài đặt tất cả các thiết bị" – khi bạn ngăn chặn cài đặt bất kỳ thiết bị nào. Trong kịch bản này, bạn thêm một danh sách các thiết bị được cho phép vào chính sách và gồm có ID phần cứng cho ổ nhớ USB.
Mức ưu tiên của việc cho phép người dùng chỉ cài đặt các thiết bị đã được phép
Để thực hiện nhiệm vụ này, bạn phải thực hiện được tất cả các bước trong kịch bản đầu tiên, Ngăn chặn cài đặt tất cả thiết bị.
Các bước cho phép người dùng cài đặt các thiết bị được phép
Trong phần này, bạn thêm các thiết bị được cho phép vào hạn chế được áp đặt trong phần trước bằng các tạo một danh sách các thiết bị được phép cài đặt.
Bước 1: Tạo một danh sách các thiết bị được phép cài đặt
Tạo một danh sách cách thiết bị được cho phép cài đặt
1. Đăng nhập vào máy tính như DMI-Client1TestAdmin.
2. Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó.
3. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER.
4. Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để mở nó. Sau đó mở Administrative Templates > System > Device Installation> Device Installation Restrictions.
5. Trong cửa sổ chi tiết, kích chuột phải vào Allow installation of devices that match any of these device IDs, sau đó kích Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện tại của nó.
6. Trên tab Setting, kích Enabled để bật chính sách này
7. Kích Show để xem danh sách các thiết bị được cho phép trong hộp thoại Show Contents
Mặc định, danh sách này là chưa có gì
8. Kích Add để mở hộp thoại Add Item.
9. Nhập vào ID thiết bị (ID phần cứng thiết bị trước) cho thiết bị của bạn.
10. Kích OK để quay trở về hộp thoại Show Contents.
Thiết bị của bạn bây giờ xuất hiện trong danh sách.
11. Kích OK để quay trở về hộp thoại chính sách.
12. Kích OK để lưu thiết lập chính sách mới của bạn.
Bước 2: Kiểm tra danh sách các thiết bị được cho phép
Với thiết lập chính sách vừa cho phép, bạn có thể áp dụng nó cho máy tính và thử cài đặt thiết bị.
Kiểm tra danh sách các thiết bị được cho phép
1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.
2. Khi lệnh “gpudate” được thực hiện, log off máy tính, sau đó đăng nhập vào như DMI-Client1TestUser.
3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
Thông báo dưới đây sẽ xuất hiện, thông báo này chỉ thị rằng bạn không có quyền thực hiện bất cứ thay đổi nào trong Device Manager.
4. Kích OK để đóng thông báo này.
Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.
5. Cắm USB của bạn vào
Thiết bị xuất hiện trong Device Manager nằm trong nút Other devices cho tới khi Windows hoàn thành xong việc cài đặt.
6. Sau khi Windows hoàn tất việc cài đặt, thiết bị chuyển sang nút Disk Drives trong Device Manager và có các chức năng đầy đủ.
Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị. Trong phần trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danh sách thiết bị được cài đặt. Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừ thiết bị có trong danh sách bị hạn chế. Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trong kịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách.
Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Nếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và “Cho phép người dùng chỉ cài đặt được các thiết bị cho phép” trong các phần trước, bạn phải vô hiệu hóa các chính sách này bằng sử dụng các bước dưới đây:
Kích hoạt cài đặt đối với tất cả các thiết bị
1. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.
2. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER.
3. Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer Configuration để mở nó. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions.
4. Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices not described by other policy settings, sau đó kích Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.
5. Kích Disabled để tắt bỏ thiết lập chính sách.
6. Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor.
Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên.
Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy
1. Trong Group Policy Object Editor, kích chuột phải vào Allow administrators to override device installation policy, sau đó chọn Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.
2. Trên tab Setting, kích Disabled để tắt thiết lập chính sách.
3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.
Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đã tạo trong kịch bản thứ hai.
Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép
1. Trong Group Policy Object Editor, kích Allow installation of devices that match any of these device IDs, sau đó chọn Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành.
2. Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt.
3. Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove.
Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách.
4. Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách.
5. Kích Disabled để tắt thiết lập chính sách.
6. Kích OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor.
Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm
Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bị bị ngăn cấm. Trong kịch bản này, bạn sẽ:
Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm
Tạo một danh sách các thiết bị muốn ngăn cấm
1. Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó.
2. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.
3. Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER.
4. Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions.
5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices that match these device IDs, sau đó nhấn Properties.
Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó.
6. Trong tab Setting, nhấn Enabled để bật chính sách này.
7. Kích vào Show để xem danh sách các thiết bị được ngăn chặn.
8. Trong hộp thoại Show Contents, kích Add.
9. Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm thấy cho thiết bị của bạn.
10. Kích OK để quay trở về hộp thoại Show Contents.
Thiết bị của bạn bây giờ xuất hiện trong danh sách.
11. Kích OK để quay trở về hộp thoại chính sách.
12. Kích OK để lưu thiết lập chính sách mới.
Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấm
Giờ bạn hãy thử cài đặt thiết bị. Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặn không tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăng nhập với quyền thành viên của nhóm quản trị.
Kiểm tra danh sách các thiết bị muốn ngăn cấm
1. Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn ENTER.
2. Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh.
3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
4. Cắm USB của bạn vào
Thiết bị xuất hiện trong Device Manager dưới nút Other devices.
Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động.
5. Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng:
6. Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết bị: kích chuột phải vào thiết bị, sau đó nhấn Update Driver Software.
7. Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị.
8. Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically for updated driver software.
Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này. Đoạn cuối của thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo.
9. Kích Close.
VanLinh-Mircosoft
Kiểm soát việc đọc và ghi lên các thiết bị di động
Kịch bản này giới thiệu cách bạn có thể kiểm soát việc đọc, ghi đối với các thiết bị di động trên máy tính đang chạy Windows Vista và Windows Server 2008. Trong kịch bản này, bạn phải thiết lập Group Policy để cho USB ở chế độ chỉ đọc. Bạn cũng có thể thiết lập Group Policy để cho các ổ CD, DVD của máy tính ở chế độ chỉ đọc bằng cách vô hiệu hóa chức năng ghi.
Các điều kiện quyết định
Trước khi có thể thử các thủ tục trong phần này, bạn phải vô hiệu hóa chính sách ngăn chặn cài đặt các ổ USB.
Vô hiệu hóa chính sách ngăn chặn cài đặt các ổ USB
1. Nếu thiết bị của bạn hiện đã được cài đặt, hãy gỡ bỏ cài đặt nó.
2. Trong cửa sổ chi tiết của Group Policy Object Editor, kích Prevent installation of devices that match these device IDs, sau đó kích Properties.
Hộp thoại chính sách sẽ xuất hiện với các thiết lập hiện hành của nó.
3. Trên tab Settings, kích Show để xem danh sách các thiết bị bị ngăn cấm
4. Trong hộp thoại Show Contents, kích vào ổ nhớ USB, chọn Remove sau đó kích OK.
5. Trong tab Setting, kích Disabled để tắt thiết lập chính sách này.
6. Kích OK để lưu thay đổi của bạn.
Các bước kiểm soát việc đọc, ghi đối với thiết bị di động
Bước 1: Thiết lập chính sách máy tính để từ chối việc ghi đối với các lớp thiết bị di động
Các chính sách mà bạn thiết lập trong thủ tục này sẽ khóa không cho phép ghi đối với nhiều thiết bị lưu trữ di động. Mặc dù vậy, chính xác nó khóa việc ghi lên các thiết bị có thể thay đổi dựa vào cấu tạo cụ thể và mô hình thiết bị. Bạn cũng có thể sử dụng chính sách Custom Classes, nhưng nó yêu cầu bạn phải chỉ ra GUID lớp cài đặt thiết bị cho thiết bị cụ thể.
Từ chối việc ghi đối với các lớp thiết bị di động
1. Trong Group Policy Object Editor, mở Computer Configuration > Administrative Templates > System > Removable Storage Access.
2. Kích chuột phải vào CD and DVD: Deny write access sau đó kích Properties.
3. Trong hộp thoại Properties, kích Enabled để bật sự hạn chế sau đó kích OK.
4. Lặp lại các bước 2 và 3 cho các chính sách dưới đây:
Removable Disks: Deny write access
Floppy Drives: Deny write access
WPD Devices: Deny write access
5. Đóng Group Policy Object Editor.
Bước 2: Kiểm tra các thiết lập chính sách máy tính của bạn
Nếu thiết bị đang được sử dụng, việc hạn chế ghi không thể được thi hành ngay lập tức. Để áp dụng chính sách đó bạn phải khởi động lại máy tính.
Kiểm tra các thiết lập
1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.
2. Khi lệnh “gpudate” được thực hiện, khởi động lại máy tính của bạn.
3. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.
4. Cắm USB, sau đó đợi cho đến khi Windows đưa ra thông báo rằng nó đã hoạt động.
5. Kích Start > Computer, sau đó kích đúp vào ổ USB
6. Trong Windows Explorer, kích chuột phải vào vùng mở của cửa sổ chi tiết, kích New, sau đó kích Folder.
Windows sẽ hiển thị thông báo lỗi giải thích tại sao việc tạo thư mục gặp lỗi.
7. Kích Continue
8. Nếu hộp thoại User Account Control xuất hiện, bạn hãy xác nhận rằng hoạt động đang thực hiện là hợp lệ, sau đó nhấn Continue.
9. Windows sẽ hiển thị ra một thông báo thứ hai chỉ thị lý do không thể ghi cho thư mục đó.
10. Kích Cancel để đóng hộp thoại.
Kết luận
Trong hướng dẫn này bạn đã sử dụng một thiết bị mẫu trong môi trường thí nghiệm để học về cách kiểm soát người dùng có được cài đặt thiết bị hay không. Bạn cũng được học về cách hạn chế truy cập đối với các thiết bị lưu trữ di động. Việc kiểm soát cài đặt và sử dụng thiết bị theo cách này sẽ làm tăng tính bảo mật và nâng cao hiệu quả vai trò trợ giúp bằng cách hạn chế các thiết bị mà người dùng có thể cài đặt vào tổ chức của bạn.
VanLinh-micosoft
Hướng dẫn khắc phục sự cố trong Group Policy
Microsoft Active Directory đã trở thành một thành phần không thể thiếu của rất nhiều hệ thống IT trên thế giới. Một thành phần quan trọng nhất trong Active Directory là Group Policy, cho phép người quản trị tập trung quản lý các domain controllers, các máy chủ, các máy cá nhân.
Trong khi Group Policy cung cấp rất nhiều tác dụng, nhưng nó có một phần nhỏ hoạt động chưa thực sự trơn tru. Nó có thể rất phức tạp từ thiết kế tới triển khai trong một tổ chức lớn và điều đó sẽ sảy ra rất nhiều rắc rối cần phải giải quyết mà đôi khi vài thứ trở thành những điều không mong muốn. Trong bài viết này, tôi sẽ giới thiệu với các bạn cấu trúc của Group Policy và cách bạn giải quyết những sự cố thường gặp. Kết thúc bạn sẽ có tất cả những điều tổng quan để từ đó tạo ra những Group Policy hợp lý cho môi trường của bạn.
Trouble some Settings - Giải quyết vài sự cố về thiết lập cấu hình
Có nhiều vấn đề với Group Policy, đặc biệt nhất là liên quan tới giao điện cách nào việc với Active Directory và việc thiết kế và triển khai nó. Khi bạn giải quyết những sự cố nhiều dạng về truy cập và mạng được sự dụng, bạn phải luôn luôn làm việc với Active Directory và cơ bản về cách triển khai Group Policy trong quá trình nghiên cứu và giải quyết vấn đề đó. Để bắt đầu giải quyết sự cố, trước tiên bạn phải tìm kiếm các thiết lập Group Policy có thiết thiết lập sai, sau đó khi bạn kiểm tra hết phần này đến phần khác rồi bạn trở lên phức tạp vấn đề và điều này dẫn tới việc hỏng hóc trong các chính sách trong Group Policy.
Các thiết lập Group Policy được xem lại bởi người quản trị Active Directory sử dụng các Administrative Template Files (ADM hay ADMX file) và Group Policy Object Editor, hay GPEdit (với câu lệnh này nó sẽ chạy file gpedit.msc). Sử dụng GPEDit, người quản trị có thể tạo ra các file Group Policy Object hay GPOs. GPOs được cấu hình và áp dụng hoặc không được áp dụng (not apply) cho các máy tính hay các người dùng (computers or users) tại các vị trí trong cấu trúc của Active Directory. Sẽ có một số lượng các GPOs được áp dụng theo thứ tự từ trên xuống với mỗi thành phần được lựa chọn.
GPO Must Be Linked.
Khi GOP được tạo ra, nó có thể không được liên kết tới các vùng trong Active Directory. Trong trường hợp GPO được chỉnh sửa lại, nó sẽ không áp dụng với các đối tượng cho đến khi được liên kết tới vùng đó. Bạn cần phải chắc chắn răng GPO được tạo ra và liên kết đúng vào những đối tượng cần áp dụng chính sách quản lý đó. Bạn có thể xem các thông tin đó trong Group Policy Management Console (GPMC) được hiển thị dưới hình sau đây:
Hình 1 GPO Links Are Clearly Shown
GPO Must Target Correct Object.
Như bạn đã biết, Group Policy phải được liên kết với đúng những đối tượng cần thiết trong Active Directory. Tuy hiên, đôi khi trong những lần giải quyết sự cố với một GOP, có hai vấn đề bạn cần phải quan tâm đó là computer và user. Khi bạn cấu hình một GPO, phải chắc chắn một điều là nó sẽ được áp dụng cho computer hay user. Sau khi bạn kiểm tra đúng các đối tượng cần áp dụng trong một OU thì bạn thực hiện liên kết GPO đó tới OU cần thiết.GPOs Don't Apply to Groups
Một vấn đề mà bạn cần phải biết là, một GPO không thể áp dụng cho một Security Group trong Active Directory. Chỉ có hai đối tượng mà GPO có thể áp dụng là Computers và Users. Bạn không thể cấy hình GPO qua các đối tượng là thành viên trong nhóm. Ví dụ: Nếu một GPO liên kết tới một OU là Finance, hiển thị với hình dưới đây, thì chỉ hai đối tượng sẽ bị ảnh hưởng bởi các thiết lập là Derek và Frank. Các thiết lập sẽ không ảnh hưởng tới các thành viên khác thuộc group Marketing, những người không nằm trong OU này.
Hình 2 Finance OU and the Objects Within It
Target Object Must Be in the Path of the GPO.
Khi bạn quan tâm tới sự ảnh hưởng của GPO tới một đối tượng, một vấn đề quan trọng hơn nữa là phải quan tâm tới mức độ ảnh hưởng Scope of Management (SOM) của GPO. Có nghĩa là một đối tượng muốn chịu sự ảnh hưởng của GPO thì nó phải nằm trong OU mà GPO liên kết tới. Trong ví dụ dưới đây khi không có một đối tượng nào trong OU Marketing thì nó sẽ chịu ảnh hưởng bởi một GPO liên kết tới OU Finance, được hiển thị hình dưới. Sự ảnh hưởng của một GPO tính từ vùng nó liên kết tới (node where it linked) tới các OU đứng sau nó trong cấu trúc của Active Directory nhưng các OU bị ảnh hưởng chỉ cùng một Level mà thôi.
GPO Needs To Be Enabled.
Khi một GPO được tạo ra, nó sẽ không cấu hình cho tới khi bất kỳ sự thay đổi nào tới những đối tượng trong nó. Tuy nhiên, nó có thiết lập cho cả Computer và User. Khi bạn giải quyết sự cố với những GPO không áp dụng bạn phải xem xem GPO đó có bị Disable vấn đề nào không, và bạn có thể sử dụng Group Policy Object|Account Policy trong GPMC và kiểm trả trạng thái của GPO.Some Settings Need a Reboot
Khi một GPO được thiết lập mà không hoạt động, nó có thể là do chúng kế thừa từ những GPOs khác. Và điều đó những thiết lập đó có thể sẽ không hoạt động cho đến lần khởi động sau, hoặc khi user logs off và log in trở lại.
Synchronous and Asynchronous Application of Settings.
Một vấn đề khác mà khi bạn giải quyết sự cố cần phải quan tâm đó là đồng bộ hay không đồng bộ các thiết lập của mình. Với một GPO bạn có thể cấu hình áp dụng chính sách khi khởi động và khi người dùng logon hệ thống. Sự thay đổi đó sẽ tạo ra tính năng bắt buộc người dùng được cung cấp các thiết lập, và chắc chắn một điều rằng toàn bộ các chính sách được áp dụng trước khi user truy cập vào desktop. Với các thiết lập mặc định các hệ điều hành có thể không được cung ứng.
When OUs Are at the Same Level, GPOs Only Apply to the OU Where It Is Linked
Operating System :Windows 2000
Startup: Synchronously
Logon :Synchronously
Policy Refresh : Asynchronously
Operating System :Windows XP Professional
Startup: Asynchronously
Logon : Asynchronously
Policy Refresh : Asynchronously
Operating System :Windows Server 2003
Startup: Synchronously
Logon : Synchronously
Policy Refresh : Asynchronously
với thiết lập sau toàn bộ hệ thống sẽ luôn đồng bộ các chính sách được thiết lập
computer configuration | administrative templates |
System | Logon | Always wait for the network at computer startup and logon
Hầu hết các nhà quản trị đều lựa chọn việc đồng bộ cho các chính sách đã được thiết lập và điều đó chắc chắn một điều rằng toàn bộ các chính sách đó sẽ được áp dụng trước khi người dùng truy cập vào hệ thống. Tất cả các thiết lập bảo mật cũng được áp dụng cho người dùng. Chú ý một điều rằng Windows XP Professional, luôn cấu hình để tối ưu cho tốc độ logon vào hệ thống.
Thay đổi kiểu kế thừa mặc định
Có bốn cách khác nhau có thể sử dụng để thay đổi cách kế thừa từ mặc định của một tiến trình của GPO. Với những tuỳ chọn mang đến hiệu quả áp dụng cho nhiều cách khác nhau. Nó có thể tạo ra điều kiện vô cùng khó khăn trong việc giải quyết những sự cố liên quan. Với tuỳ chọn có thể thay đổi mặc định bao gồm 4 thiết lập sau:
Block policy inheritance
GPO enforcement
GPO filtering of the access control list (ACL)
Windows Management Instrumentation (WMI) Filters
Handy Tools – các công cụ
Có rất nhiều công cụ giúp bạn giải quyết những vấn đề trong Group Policy. Có vài công cụ được xây dựng có sẵn trong hệ điều hành và một số có thể download về cài đặt và sử dụng. Dưới đây là một vài công cụ bạn có thể sử dụng để làm những công cụ giải quyết những vẫn đề liên quan tới Group Policy.
Dcgpofix: Làm việc trực tiếp với hai GPOs mặc định là Default Domain Policy và Default Domain Controllers Policy.
Recreatedefpol: Công cụ tương tự như Dcgpofix làm việc hỗ trợ trên Windows 2000 Server.
Gpresult: hoạt động từ máy locally cung cấp các thông tin về Resultant Set of Policies, Block GPOs.
Gpupdate: refresh toàn bộ các GPO được thiết lập.
Gpotool: hoạt động trên các DC và khi một GPO thay đổi trên một DC này sẽ thực hiện sự thay đổi và lưu lại quá trình đó trên các DC khác.
vnexpert.
|
|
Today, there have been 47 visitors (114 hits) on this page!
|
|
