Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy

1. Bài 7:
Quản trị người dùng thông qua
chính sách nhóm
Bài 7:
Quản trị người dùng thông qua
chính sách nhóm

2. Nội dung bài học trước
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 2

3. Mục tiêu bài học
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 3

4. Tùy chọn cho việc cấu hình các
thiết lập Group Policy
Enable / DisableEnable / Disable Multi-valued settingsMulti-valued settings
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 4

5. Group Policy Scripts là gì?
Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page file
MAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v
Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page file
MAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v
Các thiết lập Group Policy Scripts được
sử dụng:
Các thiết lập Group Policy Scripts được
sử dụng:
• Cho máy tính
 Startup scripts
 Shutdown scripts
• Cho người dùng
 Logon scripts
 Logoff scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 5

6. Folder Redirection là gì?
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Các thư mục có thể chuyển hướng (Folder redirection):
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu Các thư mục phụ có thể chuyển hướng
trong Windows Vista:
• Contacts
• Downloads
• Favorites
• Searches
• Links
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 6

7. Folder Redirection
Accounting
Users
Accounts
N-Z
Accounts
A-M
• Sử dụng Folder Redirection cơ bản khi
tất cả người dùng lưu file của họ tới
1 vị trí
• Với Folder Redirection nâng cao,
các thư mục trên máy chủ được dựa
trên các thành viên trong nhóm
Accounts
N-Z
Accounting
Managers
Anne
Misty
• Chọn vị trí thư mục đích:
• Chuyển hướng tới thư mục home
của người dùng
• Tạo 1 thư mục cho mỗi người dùng
theo Root Path ( đường dẫn gốc)
• Chuyển hướng tới UserProfile
cục bộ
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 7

8. Thiết lập bảo mật cho
Redirected Folders
Full control - subfolders and files only
Administrator
Security group of
users that
put data on share
Local System
Creator/Owner
• None
• List Folder/Read Data, Create Folders/Append Data - This Folder
Only
• Full control
NTFS permissions for root folder
Share permissions for root folder
Full control - subfolders and files onlyCreator/Owner
Security group of
users that
put data on share
• Full control
%Username% • Full control, owner of folder
• None
• Full Control
NTFS permissions for each users’ redirected folder
Administrators
Local system
Full control - subfolders and files onlyCreator/Owner
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 8

9. Administrative Templates là gì?
Administrative Templates
cho máy tính:
• Windows components
• System
• Network
• Printers
Administrative Templates cho
người dùng:
• Windows components
• Start menu and taskbar
• Desktop
• Control panel
• Shared folders
• Network
• System
• Applications
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hành
và người dùng
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hành
và người dùng
• Windows components
• System
• Network
• Printers
• Windows components
• Start menu and taskbar
• Desktop
• Control panel
• Shared folders
• Network
• System
• Applications
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 9

10. Chỉnh sửa Administrative Templates
ADMX files:
• Có khả năng mở rộng
• Có thể chỉnh sửa bằng nhiều trình soạn thảo
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 10

11. Chuẩn bị
11
Tùy chọn cho triển khai và quản lý
phần mềm sử dụng Group Policy
Triển khai
1.0
22
Duy trì
2.0
33
Gỡ bỏ
44
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 11

12. Software Distribution làm việc như thế
nào?
Windows Installer
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Lợi ích khi
sử dụng
Windows
Installer
Tùy chỉnh khi
cài đặt
Khả năng phục hồi
các ứng dụng
Gỡ bỏ hoàn toàn
Tùy chỉnh khi
cài đặt
Khả năng phục hồi
các ứng dụng
Gỡ bỏ hoàn toàn
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 12

13. Điểm phân bố phần
mềm
Điểm phân bố phần
mềm
Tùy chọn cho việc cài đặt phần mềm
Gán phần mềm trong khi
cấu hình máy tính
Gán phần mềm trong khi
cấu hình máy tính
Điểm phân bố phần
mềm
Điểm phân bố phần
mềm
Áp dụng phần mềm sử dụng
document activation
Áp dụng phần mềm sử dụng
document activation
?
Áp dụng phần mềm bằng
cách dùng chức năng
Add or Remove
Programs
Áp dụng phần mềm bằng
cách dùng chức năng
Add or Remove
Programs
Gán phần mềm trong khi
cấu hình người dùng
Gán phần mềm trong khi
cấu hình người dùng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 13

14. Tùy chọn cho chỉnh sửa Software
Distribution
Các tùy chọn:
Phần mềm có thể được phân loại trong Add Programs
Phần mềm triển khai có thể được tùy chỉnh bằng cách sử dụng
file MST
Phần mở rộng có thể được liên kết với các ứng dụng cụ thể
Công bố các gói:
Ấn định các gói:
Advertised trong Active Directory có sẵn cho người dùng để cài đặt bằng Add or
Remove Programs trong Control Panel
Ứng dụng được cài đặt tự động và sẽ được tự động cài đặt lại nếu bị gỡ bỏ
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 14

15. Duy trì phần mềm đã được cài đặt bằng
Group Policy
Bắt buộc nâng cấp
Người dùng chỉ có
thể sử dụng
phiên bản đã
nâng cấp
Người dùng có
thể quyết định
việc nâng cấp.
2.0
1.0
2.0
Triển khai nâng cấp
phiên bản mới của
ứng dụng
Triển khai nâng cấp
phiên bản mới của
ứng dụng
Tùy chọn nâng cấp
Người dùng có
thể quyết định
việc nâng cấp.
Chọn lựa để nâng câp
Bạn có thể chọn
các người dùng
đặc biết cho 1 lần
nâng cấp
2.0
1.0
2.0
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 15

16. Group Policy Preferences là gì?
Group Policy Preferences mở rộng phạm vi của cấu hình các
thiết lập bên trong một GPO
Không được thực thi
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy

Bài 7 - Quản trị người dùng thông qua chính sách nhóm 16

17. Sự khác nhau giữa Group Policy
Settings và Preferences
Group Policy settings Group Policy preferences
Thực thi các thiết lập chính sách
bằng cách viết các thiết lập cho các
khu vực của registry mà người
dùng không thể sửa đổi
Được ghi vào vị trí bình thường trong
registry mà các ứng dụng hoặc tính
năng hệ điều hành sử dụng để lưu trữ
các thiết lập
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 17
Vô hiệu hóa giao diện người dùng
cho các thiết lập Group Policy được
quản lý
Không gây ra các ứng dụng hoặc hệ
điều hành để vô hiệu hóa giao diện
người dùng cho các thiết lập cấu hình
Làm mới thiết lập chính sách tại
một khoảng thời thường xuyên
Làm mới thiết lập chính sách cùng
khoảng thời gian như các thiết lập
Group Policy mặc định

18. Các tính năng của Group Policy
Preferences
Targeting FeaturesCommon Tab
Được sử dụng để cấu hình các tùy chọn
bổ sung để điều khiển hoạt động của 1
Group Policy preference
Xác định để người dùng và máy tính
được áp dụng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 18

19. Triển khai Group Policy Preferences
Windows Server 2008 đã bao gồm Group Policy preferences.
Mặc định như 1 phần của GPMC
 Windows Server 2008 đã bao gồm Group Policy preferences.
Mặc định như 1 phần của GPMC
Group Policy preferences Client side extension (CSE) phải được triển khai tới
bất kỳ các máy trạm nào bạn muốn ưu tiên triển khai

Bài 7 - Quản trị người dùng thông qua chính sách nhóm 19

20. Các kịch bản cho Group Policy
Troubleshooting
Các kịch bản yêu cầu khi khắc phục sự cố
Chính sách được áp dụng, nhưng các thiết lập không phù hợp
Không áp đặt các chính sách
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 20

21. Chuẩn bị cho việc khắc phục sự cố
Group Policy
Các bước khắc phục sự cố đơn giản:
Đảm bảo rằng DNS đang hoạt động bằng cách sử dụng nslookup
Thực hiện các kiểm tra cơ bản để kiểm tra kết nối mạng: sử dụng các
công cụ như netdiag hoặc ping


Kiểm tra Event Viewer
Kiểm tra domain controller đang hoạt động và có thể truy cập: Sử dụng
lệnh dcdiag hoặc công cụ Kerbtray
Use Group Policy Results để biết rằng các chính sách đang được áp dụng



Bài 7 - Quản trị người dùng thông qua chính sách nhóm 21

22. Các công cụ để khắc phục sự cố
Group Policy
Một số công cụ để khắc phục sự cố Group
Policy:
 Group Policy reporting – RSoP
 GPResult
 Gpotool
• Gpupdate
• Dcgpofix
• GPOLogView
• Group Policy log files
• Group Policy Management Scripts
 Group Policy reporting – RSoP
 GPResult
 Gpotool
• Gpupdate
• Dcgpofix
• GPOLogView
• Group Policy log files
• Group Policy Management Scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 22

23. Khắc phục sự cố thừa kế Group Policy
Production
Domain
GPOs
Ngăn chặn thừa kế chính sách
từ việc áp dụng toàn bộ subtrees OU
Sales
No GPO
settings apply
No GPO
settings apply
Ngăn chặn thừa kế chính sách
từ việc áp dụng toàn bộ subtrees OU
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 23

24. Khắc phục sự cố khi lọc Group Policy
Production
Domain
GPO
WMI
filter
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy
tính trong OU.
Sales
Mengph
Kimyo
Group Apply
Group Policy
Apply
Group Policy
Deny
Read and
Apply
Group Policy
Read and
Apply
Group Policy
Allow
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy
tính trong OU.
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 24

25. Khắc phục sự cố khi đồng bộ
Group Policy
• Group Policy objects bao gồm các mẫu Group Policy
và Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộng
và đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllers
không có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quán
trên tất cả các domain controllers
GPTGPT
GPCGPC
• Group Policy objects bao gồm các mẫu Group Policy
và Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộng
và đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllers
không có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quán
trên tất cả các domain controllers
DC1 DC2GPO1
Version 3
GPO1
Version 2
AD DS Replication
File Replication Service
GPTGPT
GPCGPC
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 25

26. Khắc phục sự cố khi làm mới Group
Policy
Nếu Group Policy không được làm mới:
• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính
• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính
đã khởi động lại hay chưa?
• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể
làm chậm hiệu ứng của Group Policy
• Kiểm tra lại chính sách vòng lặp
• Kiểm tra khoảng thời gian làm mới cho người dùng và máy tính
• Kiểm tra người dùng đã đăng xuất/ đăng nhập hoặc máy tính
đã khởi động lại hay chưa?
• Kiểm tra xem có thông tin lưu trữ (cached), bởi chúng có thể
làm chậm hiệu ứng của Group Policy
• Kiểm tra lại chính sách vòng lặp
Sử dụng GPUpdate để:
• Làm mới các thiết lập chính sách đã được cập nhật thủ 1 cách
thủ công
• Bắt buộc làm mới tất cả các thiết lập Group Policy
• Nếu có yêu cầu làm mới lại các thiết lập thì bắt buộc phải đăng
xuất hoặc khởi động lại máy tính
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 26

27. Khắc phục sự cố thiết lập
Administrative Template Policy
Khi xử lý sự cố Administrative Templates,
chúng ta phải xem xét:
Administrative Templates là các chính sách đúng hoặc được ưu tiên
Các thiết lập là chính sách đúng đã được dành riêng khi các chính
sách đó không được áp dụng

Các thiết lập ưu tiên vẫn được có hiệu lực cho đến khi bị
thay đổi

Các thiết lập là chính sách đúng đã được dành riêng khi các chính
sách đó không được áp dụng

Xác định hệ điều hành và các service pack khi các máy tính được
chấp nhận các thiết lập.

Bài 7 - Quản trị người dùng thông qua chính sách nhóm 27

28. Khắc phục sự cố các thiết lập
Script Policy
Khi khắc phục sự cố thiết lập script policy,
xem xét các vấn đề sau:
Xác nhập Scripts
Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts
Đảm bảo rằng Group Policy đã được cấu hình đúng
Đảm bảo rằng người dùng và máy tính có thể truy cập vào Scripts
Đảm bảo rằng script được sao lưu đúng cách
Sử dụng các công cụ Group Policy để đảm bảo Group Policy
được áp dụng đúng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 28

29. Tổng kết bài học
Khái niệm và cách cấu hình các thiết lập Group Policy,
Scripts và Folder Redirection
Khái niệm và cấu hình Administrative Templates
Cơ chế Software Distribution và các tùy chọn
Group Policy Preferences so với Group Policy settings
Các công cụ hỗ trợ khắc phục sự cố Group policy: thừa
kế, lọc, đồng bộ, làm mới...
Khái niệm và cách cấu hình các thiết lập Group Policy,
Scripts và Folder Redirection
Khái niệm và cấu hình Administrative Templates
Cơ chế Software Distribution và các tùy chọn
Group Policy Preferences so với Group Policy settings
Các công cụ hỗ trợ khắc phục sự cố Group policy: thừa
kế, lọc, đồng bộ, làm mới...
Bài 7 - Quản trị người dùng thông qua chính sách nhóm 29