Group Policy Object (GPO) là gì?

Bài viết này tất cả chúng ta cũng khám phá về Group Policy là gì ? Group Policy Object ( GPO ) là gì ? GPO hoạt động giải trí như thế nào ? và ứng dụng của GPO trên Active Directory ( AD ) ?

1. Group Policy là gì ?

Group Policy là tập hợp những pháp luật nhằm mục đích trấn áp thiên nhiên và môi trường thao tác của user và máy tính. Group Policy được cho phép sự quản trị và thông số kỹ thuật những hệ quản lý, những ứng dụng và những thiết lập của user trong thiên nhiên và môi trường Domain. Nói cách khác, Group Policy một phần nào đó trấn áp được user hoàn toàn có thể làm gì và không được làm gì trên mạng lưới hệ thống máy tính .

2. Group Policy Object ( GPO ) là gì ?

Group Policy Object là một Group Policy đơn cử, có tên riêng của nó và gồm một hay nhiều thiết lập ( setting ) được chọn và thông số kỹ thuật .

Ví dụ: Để tạo một chính sách là không cho user vào control panel, ta tạo một Group Policy Object đặt tên là Cấm Control Panel và enable setting Prohibit access to the Control Panel

Group Policy Object (GPO) là gì?

3. Tính thừa kế của Group Policy Object

Tính thừa kế của Group Policy Object là những OU con tự động hóa link và vận dụng những Group Policy Object đã được tạo ra và link trong những OU cha. Đây là thuộc tính của OU .
Chúng ta hoàn toàn có thể chặn tính thừa kế này bằng cách vào tab Group policy của OU properties, đặt dấu chọn trước Block Policy inheritance .
Chặn tính thừa kế không có tính tinh lọc, nghĩa là chặn hết mọi Group Policy Object của đối tượng người tiêu dùng cha truyền xuống .

4. Thứ tự những Group Policy Object được vận dụng

Khi máy khởi động, Local Computer Policy áp đặt lên máy trước. Sau khi màn hình hiển thị logon Open và user logon vào máy thì những GPO của Site, Domain, OU cha, OU con áp đặt tiếp lên máy theo trình tự :
Site policies -> Domain policies -> OU cha policies -> OU con policies
Theo trình tự thường thì policy áp ở đầu cuối sẽ là policy “ mạnh ” nhất. Trình tự này được vận dụng để xử lý khi có sự xung đột giữa những policy .

5. Làm sao để GPO của đối tượng người tiêu dùng cha ( Domain hoặc OU ) dù có xung đột cũng áp đặt cho những đối tượng người dùng con ?

Các GPO có thuộc tính No-Override ( không cho bỏ lỡ ), mặc định là Disable. Khi enable thuộc tính này cho một GPO, những đối tượng người tiêu dùng con không thể nào bỏ lỡ GPO này được hoặc bằng cách Block hoặc bằng cách xung đột policy với đối tượng người tiêu dùng cha .
Miễn trừ vận dụng GPO cho một user trong một OU ( hay miễn trừ máy tính ) được gọi là filter. Để filter cần phải đổi khác phân quyền trên GPO. Mặc định là mọi users và computers có phân quyền Allow Read và Allow Apply Group Policy Object. Phân quyền lại cho user hay computer được miễn trừ Deny Apply Group Policy Object .

7. Một số ứng dụng của GPO

a. Deploy Software

Ta hoàn toàn có thể dùng GPO để cài software tự động hóa cho User / Computer

Ưu điểm:

  • Tự động cài đặt, và hoặc tự động gỡ bỏ.
  • Tự động cài lại khi software bị hỏng

Điều kiện:

  • Software phải có file mô tả cài đặt (*.msi,*.mst,*.zap).
  • User tối thiểu phải có quyền Read trên folder chứa software gốc.
  • Một số software khi cài cho User đòi hỏi user phải có quyền Local Admin. Có thể thay bằng khai báo thêm trong Registry…

Các cơ chế cài:

  • Publish: Cơ chế này chỉ có trong phần User Configuration. Khi ta publish một ứng dụng, user cần phải vào Control Panel -> Click vào Add Or Remove Programes để tiến hành cài đặt.
  • Assign: Đều có trong User Configuration và Computer Configuration. Ứng dụng sẽ được cài đặt khi user đăng nhập (cấu hình trong User Configuration) hoặc sẽ được cài đặt khi restart lại máy (cấu hình trong Computer Configuration).
  • Advanced: Có cả Publish và Assign như trên nhưng kèm thêm nhiều sự lựa chọn khác như khi một tài khoản user hay computer ra ngoài phạm vi quản lý của GPO thì xử lý như thế nào – có gỡ chương trình đó ra khỏi máy hay không hay phần mềm được nâng cấp như thế nào…

b. Folder Redirection

Folder redirection là một GPO chuyển 1 số ít thư mục của user về cất trên server thay vì cất tại local .

Khi cấu hình, phải dùng đường dẫn UNC để chỉ tới share folder.

Xem thêm: Cuộc sống bí mật của các hóc môn trong cơ thể

Folder redirection chỉ có trong phần User Configuration. Khi thông số kỹ thuật có hai option để lựa chọn : Basic và Advanced .

  • Basic: Chỉ để cho tạo một share folder chung cho mọi users trong đó mỗi user có một folder riêng.
  • Advanced: Cho tạo nhiều share folder khác nhau theo group.

c. Scripts trong GPO

Scripts trong GPO chính là GPO pháp luật thời gian để thực thi những file có sẵn. Các thời gian thực thi như sau :

  • Trong Computer Configuration: Shutdown và Startup
  • Trong User Configuration: Logon và Logoff

Nguồn: Sưu tầm

5/5 – (5 bình chọn)

Xin chào những bạn, Tôi là người yêu thích viết blog, đang cố gắng nỗ lực để trở thành một blogger chuyên nghiệp, hiện tại tôi đang thao tác trong nghành nghề dịch vụ CNTT. Với blog thuvienhay.com tôi mong ước được san sẻ những kiến thức và kỹ năng của mình đến tổng thể mọi người. Mong những bạn hãy theo dõi và ủng hộ blog thuvienhay.com. Chân thành cảm ơn !

Rate this post
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments