Group Policy là một tính năng của hệ điều hành thuộc Microsoft Windows NT family của Microsoft, giúp quản lý và kiểm soát môi trường làm việc của tài khoản người dùng và máy tính. Nó cung cấp khả năng quản lý tập trung và cấu hình hệ điều hành, ứng dụng cũng như cài đặt của người dùng trong môi trường Active Directory.
Một Group Policy Object (GPO) là một tập hợp các chính sách ảo, có tên duy nhất (ví dụ như GUID). GPO có thể chứa các thiết lập chính sách trên hệ thống file và trong Active Directory. GPO có thể được liên kết với một hoặc nhiều đối tượng trong Active Directory, như site, domain hoặc Organizational Unit (OU).
Windows Server Active Directory Domain Services (ADDS) là một dịch vụ thư mục lưu trữ thông tin về tất cả các đối tượng trong domain và cung cấp dữ liệu này cho người dùng và administrators. ADDS giúp lưu trữ dữ liệu theo cấu trúc an toàn và có tổ chức, cho phép system adnin dễ dàng quản lý toàn bộ hệ thống. Domain Controller (DC) là máy chủ chạy ADDS, giúp người dùng có thể truy cập tài nguyên trên mạng chỉ với một lần đăng nhập.
Trong hướng dẫn này, chúng ta sẽ thực hiện cấu hình cấm truy cập Control Panel đối với một Organizational Unit (OU) trong Active Directory.
Note: Organizational Unit (OU) là một thành phần trong Active Directory của Windows Server, được sử dụng để tổ chức và quản lý các đối tượng như người dùng (Users), nhóm (Groups), máy tính (Computers), và các tài nguyên khác trong một Domain.
OU hoạt động như một thư mục con trong Active Directory Domain Services (ADDS), cho phép system admin nhóm các đối tượng có liên quan vào một đơn vị quản lý logic. Điều này giúp việc quản lý trở nên linh hoạt và hiệu quả hơn.
Môi trường Demo
- Computer Name: phuonglh-pc.company.com
- Operating System: Windows11
- IP Address: 192.168.146.100
- Domain: company.com
- Domain controller (DC) hiện có: ad-server1.company.com
- DNS Server IP address: 192.168.146.3
- Organizational unit: TEST_OU
- Một user trong Organizational unit (TEST_OU): test\user1
Contents
- 1 Cấu hình Central Store Group Policy Object
- 1.1 1. Mở Server Manager dashboard, click tools, và chọn Group Policy Management.
- 1.2 2. Click chuột phải vào Default Domain Policy và chọn Edit.
- 1.3 3. Trong Group Policy Management Editor, Click đúp vào User Configuration, Mở rộng Policies, và sau đó click Administrative Templates, bạn có thể thấy Administrative Templates: Policy definitions (ADMX files) retrieved from the local computer.
- 1.4 4. Truy cập vào Policies folder và tạo một folder mới đặt tên là PolicyDefinitions.
- 1.5 5. Truy cập vào C:\windows\PolicyDefinitions folder, Bạn cần phải copy tất cả các file .adml & .admx.
- 1.6 6. Sau đó, paste các .adml & .admx files mà bạn vừa copy vào c:\windows\SYSVOL\sysvol\comsys.local\PolicyDefinitions folder.
- 1.7 7. Đóng và Mở lại Group Policy Management Editor, Mở User Configuration> Polices, trỏ con trỏ chuột của bạn vào Administrative Templates folder và xác minh rằng nó hiển thị là: Administrative Templates: Policy definitions (ADMX files) retrieved from the central store.
- 2 Tạo và cấu hình Starter GPOs
- 2.1 8. Mở Server Manager dashboard, click tools, và chọn Group Policy Management.
- 2.2 9. Tạo một Starter GPO, click chuột phải vào Starter GPOs folder, và sau đó click New.
- 2.3 10. Nhập Name (tên) và Comment (mô tả) cho New Starter GPO và click OK.
- 2.4 Mục đích:
- 2.5 11. Click chuột phải vào New Starter GPO và Click Edit
- 2.6 12. Mở giao diện Group Policy Management Editor.
- 2.7 13. Trong Prohibit access to Control Panel and PC settings window, chọn Enable và click OK.
- 3 Tạo một GPO và Link
- 4 Kiểm tra kết quả trong một client PC
- 4.1 16. Nhập User Name và Password.
- 4.2 17. Trong client pc, nó sẽ đợi chính sách được cập nhật tự động hoặc cập nhật thủ công các thiết lập chính sách bằng cách chạy lệnh “gpupdate /force” trong ad-server1.
- 4.3 18. Sau khi bạn đã log on thành công, thử mở Control Panel.
- 4.4 19. Chúng ta thấy nó hiển thị một cảnh báo: This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.
- 4.5 Kết luận
Tài liệu liên quan
Các bước cấu hình Group Policy
- Cấu hình Central Store GPO
- Tạo và cấu hình Starter GPOs
- Tạo một GPO and Link
- Kiểm tra kết quả trong một Client PC
-
Kiểm tra kết quả trong một PC client
Cấu hình Central Store Group Policy Object
Group policy central store là vị trí trung tâm để lưu trữ tất cả các group policy template files( files mẫu chính sách nhóm). Điều này giúp system admin không cần phải tải và mở các group policy template files trên các hệ thống được sử dụng để quản lý group policy.
1. Mở Server Manager dashboard, click tools, và chọn Group Policy Management.
2. Click chuột phải vào Default Domain Policy và chọn Edit.
3. Trong Group Policy Management Editor, Click đúp vào User Configuration, Mở rộng Policies, và sau đó click Administrative Templates, bạn có thể thấy Administrative Templates: Policy definitions (ADMX files) retrieved from the local computer.
4. Truy cập vào Policies folder và tạo một folder mới đặt tên là PolicyDefinitions.
C:\Windows\SYSVOL\sysvol
5. Truy cập vào C:\windows\PolicyDefinitions folder, Bạn cần phải copy tất cả các file .adml & .admx.
6. Sau đó, paste các .adml & .admx files mà bạn vừa copy vào c:\windows\SYSVOL\sysvol\comsys.local\PolicyDefinitions folder.
7. Đóng và Mở lại Group Policy Management Editor, Mở User Configuration> Polices, trỏ con trỏ chuột của bạn vào Administrative Templates folder và xác minh rằng nó hiển thị là: Administrative Templates: Policy definitions (ADMX files) retrieved from the central store.
Tạo và cấu hình Starter GPOs
Starter GPOs là các mẫu (template) dành cho thiết lập Group Policy. Chúng cho phép system admin tạo ra và có sẵn một nhóm cài đặt được cấu hình trước, đóng vai trò như một cấu hình cơ bản (baseline) cho bất kỳ chính sách nào được tạo trong tương lai.
Nói cách khác, Starter GPOs giúp chuẩn hóa các thiết lập Group Policy và tiết kiệm thời gian khi triển khai chính sách mới trong hệ thống Active Directory.
8. Mở Server Manager dashboard, click tools, và chọn Group Policy Management.
9. Tạo một Starter GPO, click chuột phải vào Starter GPOs folder, và sau đó click New.
10. Nhập Name (tên) và Comment (mô tả) cho New Starter GPO và click OK.
- Name: New Starter GPO
- Comment: New Starter GPO
Trong hướng dẫn này, chúng ta sử dụng Prohibit access to the Control Panel and PC settings policy cho việc testing của chúng ta.
Prohibit access to the Control Panel and PC settings trong Starter GPO có nghĩa là ngăn chặn quyền truy cập vào Control Panel và cài đặt của PC thông qua chính sách nhóm (Group Policy).
Mục đích:
✅ Ngăn chặn người dùng thay đổi các cài đặt quan trọng trên hệ thống.
✅ Tăng cường bảo mật bằng cách hạn chế truy cập vào các công cụ cấu hình hệ thống.
✅ Áp dụng chính sách nhanh chóng cho nhiều máy tính trong Active Directory thông qua Group Policy.
11. Click chuột phải vào New Starter GPO và Click Edit
12. Mở giao diện Group Policy Management Editor.
Mở rộng User Configuration> Administrative Templates> Control Panel và mở Prohibit access to Control Panel and PC settings.
13. Trong Prohibit access to Control Panel and PC settings window, chọn Enable và click OK.
Tạo một GPO và Link
14. Mở Group Policy Management, Click chuột phải vào OU và chọn Create a GPO in this domain and Link it here.
15. Nhập tên, chọn Source Starter GPO, và click OK.
- Name: New Group Policy Object
- Source Starter GPO: New Starter GPO
Kiểm tra kết quả trong một client PC
Môi trường của Client PC Demo
- Computer Name: phuonglh-pc.company.com
- Operating System: Windows 11
- IP Address: 192.168.146.100
- Domain: company.com
- Organizational unit: TEST_OU
- Một user trong Organizational unit (TEST_OU): user1
16. Nhập User Name và Password.
17. Trong client pc, nó sẽ đợi chính sách được cập nhật tự động hoặc cập nhật thủ công các thiết lập chính sách bằng cách chạy lệnh “gpupdate /force” trong ad-server1.
18. Sau khi bạn đã log on thành công, thử mở Control Panel.
19. Chúng ta thấy nó hiển thị một cảnh báo: This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.
Kết luận
Group Policy trong Windows Server 2022 là một công cụ mạnh mẽ giúp system admin quản lý và kiểm soát hệ thống một cách hiệu quả. Với Group Policy, bạn có thể thiết lập các chính sách bảo mật, giới hạn quyền truy cập, tự động hóa cài đặt phần mềm và tối ưu hóa môi trường làm việc cho toàn bộ công ty.
Việc triển khai và cấu hình Group Policy không chỉ giúp giảm thiểu rủi ro bảo mật mà còn đảm bảo tính nhất quán trong hệ thống. Khi sử dụng kết hợp với Starter GPOs, bạn có thể tạo ra các cấu hình chuẩn mực, dễ dàng tái sử dụng và tiết kiệm thời gian trong việc triển khai chính sách trên nhiều thiết bị trong hệ thống mạng.
Hy vọng bài viết này đã giúp bạn nắm vững cách cấu hình Group Policy trên Windows Server 2022. Nếu bạn đang quản lý một hệ thống lớn, hãy tận dụng sức mạnh của Group Policy để duy trì tính ổn định, bảo mật và hiệu suất tối ưu cho hệ thống của bạn.
Nếu bạn thấy bài viết này hay, vui lòng chia sẻ bài viết này cho bạn bè và đồng nghiệp của bạn nhé!
#WindowsServer #GroupPolicy #WindowsServer2022 #SystemAdmin #ITManagement #ActiveDirectory #GPO #ServerConfiguration #ITSupport #NetworkSecurity
