Hướng dẫn xử lý lỗi configuration item ald current threshold
@ộe dóe đẦu!Cmüdf tþe dmẩd tmẢy rằdf veỆc sứ nỢdf mỆ đeều mëdm Iac cỦa các gạd có cmüt omó omădome cmuyểd tữ Vednhws qua IacHS, nh đó cmüdf tþe geìd shạd, cmẨt `ỉc dmỨdf vẢd đề các gạd fẶp pmảe trhdf quá tràdm sứ nỢdf vë cácm xứ `ù cơ gảd ome fẶp pmảe cmüdf,@ộe đẦu teìd, tmay iẶt tbai tþe iuốd cmh các gạd meểu rằdf cuốd dëy cmễ nõdf để gỒ sudfoeẸd tmục cmh dfƻộe nõdf vë tþe dfmĥ có dmeều cácm xứ `é ië các gạd có tmể tài ra, gé quáiởe dìd nõdf đẸd và tþe omþdf iuốd các gạd gỏ f÷ gó tré tƻỘdf tƻợdf ome tài oeẸi tmþdfted, cmẨt `ỉc tmþdf ted, xbi xåt pmçd geỆt đüdf sae cỦa các gạd, ihdf các gạd meểu đeều đó.mụ mae, tþe iuốd dmẢd iạdm rằdf quyểd dëy OMÞDF [MầE ěệ OEDM NHADM và dó c÷dnédm đẸd quyềd sỘ mỨu tré tuỆ ZeỆt Dai vë dƻởc dfhëe, dẸu các gạd có ed Ảd để cmh tẶdf,tbai cmüdf tþe cái ơd và gạd `ad truyềd cmh dmỨdf dfƻộe cmƻa geẸt đẸd iacHS cťdf dmƻcmƻa geẸt cácm omẨc pmỢc dó, dẸu gạd nõdf vëh iỢc đécm tmƻơdf iạe, oedm nhadm, `ëi ơdnữdf `ạe. Iổt `Ầd dỨa, tbai cmüdf tþe cái ơd các gạd. Iac`ej b ^baiIỢc `Ợc< ^radf1. @ỚE ậD ^MADM ěƨỐDF NẬD………..…………………………………………………...57. [MÓDF ^H/^MR DMỄ ửDF NỮDF………..…………………..…………………………..53. Fừ SẫCM ửDF NỮDF..…………..………..…………………………………..…………...5\>. Ấ N×DF CMỤ.………...………..…………………………………………..…………….52. @ẮU @ẫE IACGHHO OME GỌ IẮ………………………………………………………..5:. CËE @ẫE IACGHHO…………………………………………………………...………...5,1;6. @ËI Ở MEỊD @ÌD IËD MÀDM NBSO^H[, WRU ]RẮ NỎ NËDF MƫD…………...1;\=. CËE [MẪD IịI OMÞDF WÒ DFRỗD FớC WÌD IACGHHO. …………..……..…..1;5. MEệD ^MỌ [MẪD ^WćI [ED………………………...……………………………….……1;1;. Ấ NASMGHAWN ^WÌD IACGHHO................……………………………………..1;,1111. CMEA Ở @ƨR ^WỤ ^WHDF IACGHHO………………………………………………….1117. QRÌD [ASS @HFED. ………………………………………………………………………1113. Fừ ửDF NỮDF OMỄE NHCO……………………………………………………………..111>. ^MÌI ửDF NỮDF ZËH NHCO…………………………………………………………..1112. CMọDM ^H DMỄ ^MADM NHCO. ………………………………………………………...111:. Ấ ^MÞDF GÁH FÓC [MầE, MEỊD Ổ [MÉA ^WÌD ^AU [MầE IËD MÀDM………...1116. OMẤC [MỮC MAH [ED ^WÌD IHLAZB, CA^A@EDA……………………………….11,171=. DFMB DMẫC GẻDF @HA ZË ^AE DFMB OMÁC ÇI…………………………………..1715. CÁCM CËE JHD CMỤ WÌD IACGHHO, ^MÌI JHD CMH IAC. ………………..177;. ěỞE ěƫD ZỌ DFAU WHDF S[HW@EFM^……………………………………………..1371. @ẮU @ẫE QRUịD ANIED WHDF IAC………………………………………...13 đẸd 7177. GẠ EIB IACMEDB ěệ OMÞE [MỮC NỤ @EỊR OME IÁU CÓ ZẮD ěị……………7173. CHE DMEịR ầDM CÕDF @ÜC……………………………………………………………..717>. SẤ[ ]Ẵ[ @ẫE GEệR ƨủDF ECHD WÌD ^MADM S^A^RWS GAW…………………...7172. ěỞE JE@B MËDF @Hẫ……………………………..……………………..……………….713 Group Policy là tập hợp các thiết lập cấu hình cho Computer và Users , xác định cách thức để các chương trình , tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức . Mục đích sử dụng GPO nhằm triển khai các chính sách từ miền máy chủ Domain Controller xuống Users . Group Policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khởi động (start up), và tắt máy (shut down) Group Policy chỉ áp dụng trên các máy Windows Server 2000 / 2003 / 2008 / 2012 /2016 … và chủ yếu áp dụng cho các Site , Domain và Organization Unit . Các chính sách nhóm được áp dụng cho các đối tượng như Site , domain, OU được gọi là GPO ( Group Policy Objects) Trên mỗi máy Windows Server 2016 cũng có 1 bộ công cụ Group Policy được gọi là Local Group Policy và sẽ chỉ áp dụng cho chính máy này khi máy đó không tham gia vào miền . Các Group Policy Objects được lưu trữ trong cơ sở dữ liệu của Active Directory . Chương trình để tạo ra và chỉnh sửa GPO có tên là Group Policy Object Editor ( đây là 1 dạng console tên là gpedit.msc , console của Active Directory Users and Computers là dsa.msc) 2. Chức năng của Group PolicyCác Group Policy có thể dùng để triển khai cài đặt phần mềm xuống các máy trạm trong miền một cách tự động . Dùng để ấn định các quyền hạn cho người dùng trong mạng . Giới hạn phần mềm được cài đặt trên máy Client , giới hạn những ứng dụng được phép chạy trên máy Client . Kiểm soát hạn ngạch sử dụng ổ đĩa cứng trên máy Client . Thiết lập các kịch bản ( Script ) cho đăng nhập ( Logon ) , đăng xuất ( Logout) , khởi động ( Startup ) , tắt máy ( Shutdown) , đơn giản hóa việc quản lý các máy Client. GPO định hướng lại một số thư mục quan trọng trên máy Client và còn rất nhiều chức năng khác nữa tùy thuộc vào nhu cầu của người quản trị . Một số chú ý trong GPO : Các GPO chỉ có thể hiện hữu trong miền Active Directory , GPO mất tác dụng đối với những máy client khi chúng được xóa khỏi miền và các máy tính Local chỉ có thể sử dụng Local Group Policy 3. Một số thành phần trong GPOKhi cấu hình GPO , ta cấu hình trên máy Domain Controller , vào Server Manager / Tools / Group Policy Management. GPO bao gồm hai thành phần chính :
Và các thành phần con như :
Ta có chi tiết từng thành phần : Account Policies:
Account lockout Policy:
Local Policy: các chính sách cục bộ.
Security Options:
Còn rất nhiều Object Policy khác nữa các bạn có thể tìm hiểu trên mạng . ( Nguồn : bachkhoa-aptech.edu.vn) Chú ý : để triển khai các GPO xuống Client ta dùng lệnh ” gpupdate /force ” trong CMD Ta có sơ đồ như sau : Để triển khai được bài lab ta cần 1 con server 2016 làm Domain Controller quản lý miền ITFORVN.COM , trên con server Domain Controller tạo các OU , group và các user member of group tương ứng trong sơ đồ . Ta sẽ áp các chính sách lên từng OU và cụ thể là group như trong sơ đồ . Cuối cùng là 1 con máy Win 10 Client để test đã áp GPO thành công chưa , máy Client cùng dải IP với Server Domain Controller và DNS trỏ về IP của con Domain Controller . Máy Win 10 Client sẽ phải join domain để nhận được chính sách tương ứng với group của mình . Group Policy đầu tiên mình hướng dẫn các bạn là chúng ta đổi hình nền đồng loạt khi mà user logon vào domain thì màn hình máy tính của user đó sẽ đổi sang hình mà người quản trị đã cấu hình . Trên Con server ITFORVN-W2K16-DC vào Server Manager chọn Tools / Group Policy Management Trong Console của Group Policy Management chọn Domain / itforvn.vcode.ovh / Hanoi , đây là nơi chúng ta sẽ cấu hình Group Policy cho các OU con trong OU Hanoi . Để tạo các OU như hình dưới các bạn vào Active Directory User and computer và tạo các OU , group , user giống bài trước ta đã tìm hiểu qua . Tiếp theo chúng ta lên mạng tìm một hình nền cho desktop rồi copy vào trong máy ảo . Yêu cầu các bạn phải cài VMware Tools thì mới copy dữ diệu từ máy thật vào máy ảo . Sau đó ta tạo 1 Folder tên là wallpaper ( tên gì tùy bạn ở đây mình đặt là wallpaper ) và copy ảnh vào trong folder đó . Chọn View và tích vào dòng File name extensions để nó hiển thị đuôi mở rộng của file ảnh , các bạn đổi tên file ảnh thành abc.jpg sao cho tên đầy đủ của bức ảnh dễ nhớ nhất để tí chúng ta có thể nhớ và gõ tay . Kết quả như hình sau Tiếp theo chúng ta sẽ Share folder wallpaper này ra Chọn Tab Sharing / Advanced sharing Tích vào Share this folder , chọn Permisión Ở mục Permisions for everyone chọn 2 quyền change và read sau đó apply và close . Bật lại Server manager chọn Group Policy Management Ở bảng console chọn Domain / itforvn.vcode.ovh / Hanoi / Phong_Ke_toan , click chuột phải chọn Create a GPO in this domain and Link it here để tạo Group Policy cho OU con Phong_ke_toan trong OU Hanoi Đặt tên cho GPO này là set wallpaper Click chuột phải vào link GPO set wallpaper ta vừa mới tạo và chọn Edit Chọn mục User Configuration vì ta sẽ cấu hình đổi hình nền theo user chứ không chọn theo Computer , để user đó log on bất cứ máy nào cũng được đổi hình nền . Chọn Policies / Administrative Templates : Policy… / Desktop /Desktop Click đúp vào Desktop wallpaper , chọn enable policy này lên . Ở Option mục Wallpaper name các bạn nhập đường dẫn share file và tên ảnh như sau \\192.168.2.2\wallpaper\abc.jpg . Địa chỉ 192.168.2.2 là của con server DC mà chúng ta đã share file ảnh ra , lúc nãy mình có đổi tên file ảnh là abc.jpg cho dễ nhớ để giờ các bạn nhập vào đây . Sau đó ấn Apply và OK Sau đó các bạn bật CMD lên và gõ gpupdate /force để nó cập nhật chính sách cho các client . Đây là bước bắt buộc sau khi cấu hình Group Policy xong Chuyển sang máy Win 10 Client , join domain cho máy này Sau khi máy khởi động lại , logon bằng user trong OU Phong_Ke_toan mà chúng ta đã áp chính sách Khi Logon user thuộc OU Phong_Ke_toan ta thấy màn hình nền desktop của user này đã đổi sang hình nền mà chúng ta set lúc đầu . Như vậy ta đã cấu hình Group Policy đổi màn hình nền thành công Group Policy thứ 2 mà mình sẽ đề cập đến là chúng ta sẽ khóa Registry không cho người dùng có thể truy cập và can thiệp sửa xóa vào hệ thống gây lỗi Win ,… Registry là một cơ sở dữ liệu dùng để lưu trữ các thông số kỹ thuật của Windows và lưu lại những thông tin về sự thay đổi, lựa chọn cũng như những thiết lập từ người sử dụng Windows. Registry chứa các thông tin về phần cứng, phần mềm, người sử dụng và một điều nữa là Registry luôn được cập nhật khi người dùng có sự thay đổi trong các thành phần của Control Panel, File Associations và một số thay đổi trong menu Options của một số ứng dụng,… Trên Windows XP/ 7/ 8/ 8.1/ 10, nếu như bạn muốn truy cập vào Registry thì chỉ cần mở hộp thoại Run và nhập vào lệnh Chuyển sang con IT4VN-W2K16-DC mở Group Policy Management lên chọn OU Phong_Ke_toan , click chuột phải chọn Create a GPO on this domain , and link it here và tạo 1 GPO tên là Block Registry Click vào GPO ta vừa tạo click chuột phải chọn Edit Chọn User Configuration / Policies / Administrative Template : … / System / Prevent access to registry editing tools Click đúp vào Prevent access to registry editing tools chọn Enabled và Apply , OK Mở CMD lên và gõ câu lệnh gpupdate /force để cập nhật chính sách cho Clients Chuyển sang máy Win 10 Client , sign out user hiện tại và lon in lại Ấn tổ hợp phím Windows + R gõ regedit để truy cập nhanh vào Registry nhưng ta thấy rằng nó đã bị khóa . Như vậy ta đã cấm người dùng truy cập vào Registry để chỉnh sửa ,… thành công . Tiếp theo ta sẽ cấm người dùng mở Task Manager lên , không cho họ tắt ứng dụng qua Task Manager , xem thông số CPU , RAM ,… Tạo 1 Group Policy tên là Khóa Task Manager Click chuột phải vào Khoa taskmanager chọn Edit , chọn User Configuration / Policies / Administrative Templates : … / Systems / Ctrl + Alt + Del Options / Remove Task manager , click chuột phải chọn Edit , ấn Enabled và Apply OK Mở CMD lên và gõ gpupdate /force để cập nhật chính sách Chuyển sang máy Win 10 Client ta thấy máy đã bị khóa Task Manager Group policy thứ 3 mà mình đề cập tiếp theo sẽ chặn không cho người dùng được mở command Prompt . Tạo 1 Group Policy cho Phong_ke_toan là block cmd , chọn Edit , chọn User Configuration / Policies / Administrative Templates : … / Systems / Prevent Access to the command prompt Click chuột phải vào Prevent access to the command prompt chọn Enabled , Apply OK Mở CMD gõ gpupdate /force để cập nhật chính sách . Sau đó chuyển sang Windows 10 Client truy cập vào CMD ta thấy nó đã bị khóa Để chặn một phần mềm nào đó không cho người dùng cài đặt lên máy ta có thể sử dụng App Locker . Cụ thể ở đây ta sẽ thử chặn Mozilla Firefox . Tạo 1 Group Policy ở OU Phong_ke_toan là chặn firefox . Các bước cấu hình chi tiết các bạn có thể xem Video hướng dẫn Lab chi tiết hơn . Đây mới chỉ là một số Object giúp các bạn biết GPO để làm gì ở mức sơ cấp , vẫn còn hàng ngàn group Policy nữa nhưng khi nào doanh nghiệp chúng ta có nhu cầu cấu hình GPO nào thì chúng ta mới cần tìm thêm và triển khai chứ không thể nào gói gọn hết trong 1 bài viết . Sau này mình sẽ chia sẻ thêm một số GPO hay dùng cho các bạn sau . Cảm ơn các bạn đã theo dõi và hẹn gặp lại các bạn trong các bài lab tiếp theo ! |