3 Roaming_Mandatory profie - GPO - Share permission
33
ROAMING_MANDATORY PROFIE - GPOS - SHARE PERMISSION NGƯỜI THỰC HIỆN: ============== Phạm Hoài Nam MSM: [email protected] Yahoo: [email protected] Gmail & Facebook: phamhoainam1215 Skype: Nam Pham Hoai Blog: http:// phamhoainam1215.wordpress.com
-
Upload
msp-vietnam -
Category
Education
-
view
736 -
download
1
description
3 Roaming_Mandatory profie - GPO - Share permission
Transcript of 3 Roaming_Mandatory profie - GPO - Share permission
ROAMING_MANDATORY PROFIE - GPOS - SHARE PERMISSION
NG I TH C HI N:ƯỜ Ự Ệ==============Ph m Hoài NamạMSM: [email protected]: [email protected] Gmail & Facebook: phamhoainam1215Skype: Nam Pham HoaiBlog: http://phamhoainam1215.wordpress.com========================================
Roaming profile là profile được lưu trên server khi client logon vào server cập nhật cấu hình lên server và sẽ lưu lại trên server mỗi khi client logoff.
Local profile: Profile được tạo ra trong lần logon đầu tiên vào hệ thống(profile mặc định).
Mandatory profile profile được admin tạo ra trên server để áp dụng cho 1 user hay group. User chỉ sử dụng profile đó và không thể nào thay đổi được.
GIỚI THIỆU:
1. ROAMING, MANDATORY PROFIE
Group Policy là tập các thiết lập cấu hình cho computer và user cho phép các quản trị viên IT để tự động hóa quản lý một – nhiều người dùng và máy tính, đơn giản hóa nhiệm vụ quản trị và giảm chi phí CNTT. Quản trị hiệu quả có thể thực hiện các thiết lập bảo mật, thực thi chinh sách, và các phân phối phần mềm nhất quán trên trang web, tên miền phạm vi hoặc các đơn vị tổ chức.
GIỚI THIỆU:
2. GPOS(GROUP POLICY OBJECTS)
Group Policy Object là một nhóm các cấu hình Group Policy. Có hai loại Group Policy Object: Local GPO, Non-local GPO
+ Local GPO: một local GPO được lưu trên máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng. %systemroot%\system32\GroupPolicy. Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó. Các thiết lập của GPO có thể bị ghi đè bởi non-local GPO => local GP ít có ý nghĩa trong Active Directory.
+ Non-local GPO: được tạo ra trong Active Directory. %Systemroot%\sysvol\sysvol\domainname\policies\GPO GUID\Adm.Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng và máy tính. Mặc định khi dịch vụ danh bạ Active Directory được cài đặt thì hai nonlocal GPO được tạo ra:
- Default Domain Policy: GPO này liên kết với domain, và nó ảnh hưởng đến tất cả người dùng và máy tính trong domain( bao gồm cả các máy tính làm domain controller) theo qui tắc kế thừa Group Policy.
- Default Domain Controller Policy: GPO này liên kết tới OU Domain Controller, và nó chỉ ảnh hưởng đến các máy domain controller.
GIỚI THIỆU:
2. GPOS(GROUP POLICY OBJECTS)
Trên Windows, các quyền có ảnh hưởng trực tiếp đến các phân vùng NTFS gọi là NTFS permissions hay còn gọi là local permissions. Các quyền này sẽ ảnh hưởng trực tiếp đến người dùng truy cập local vào máy.
Ngoài NTFS permissions ra, ta còn có một kiểu phân quyền nữa gọi là Share permissions. Đây là các quyền mà ta sẽ gán cho người dùng khi truy cập vào tài nguyên được chia sẻ trên mạng.
Share permissons có 3 quyền chính: -Read: users có thể xem dữ liệu của folder, xem các thuộc
tính( attributes) . Có thể run các chương trình và truy cập vào các folders bên trong folders được share .
-Change: users có thể tạo folders, thêm file vào folders, thay đổi dữ liệu trong files, thay đổi thuộc tính của files, xóa folders và files, thực hiện các hành động trong phạm vi của Read .
-Full Control: có thể thay đổi permissions của file, lấy ownership của files, thực thi tất cả những gì mà Change cho phép.
GIỚI THIỆU:
3. SHARE PERMISSION
Nội dung bài lab:1. Tạo Roaming_Mandatory profie.2. Cấp truy cập CMD – GPOs.3. Phân quyền giữa 2 group User.
Yêu cầu chuẩn bị:Chuẩn bị một máy chạy hệ điều hành
Windows Server 2008 đã nâng lên Domain và 1 máy client XP đã gia nhập Domain.
Vào 1 ổ đĩa bất kỳ tạo thư mục để lưu Roaming Profiles và phân quyền.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Trong mục Sharing chọn Advanced Sharing -> Permissions. Ta Remove Everyone và thêm vào Domain Users.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
NTFS permission:
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Để thực hiện ta bỏ check tại mục Include inheritable….. -> Remove.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Thêm lại Administrator và Domain Users với quyền Full control.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Liên kết đến Roaming profile: vào Active Directory Users and Group -> vào Properties của User muốn liên kết profile.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Liên kết đến Roaming profile: vào Active Directory Users and Group -> vào Properties của User muốn liên kết profile.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Tại mục Profile path thêm: “\\<server name hoặc IP server>\<tên thư mục Roaming Profiles>\<%username%>”
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Tại mục Profile path thêm: “\\<server name hoặc IP server>\<tên thư mục Roaming Profiles>\<%username%>”
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User Profiles -> Setting.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
B1. Tạo thư mục có thuộc tính như Roaming Profile trước.
B2. Tạo thư mục trùng với tên User bỏ vào trong thư mục ở B1.
B3. Tạo tập tin "NTUSER.MAN" bỏ vào trong thư mục ở B2.
1. TẠO ROAMING, MANDATORY PROFIE
1.2 TẠO MANDATORY PROFIE
Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User Profiles -> Setting(quá trình đăng nhập sẽ hơi lâu 1 chút).
1. TẠO ROAMING, MANDATORY PROFIE
1.2 TẠO MANDATORY PROFIE
Mở Goup Policy Management -> Forest: server1.com -> Domains -> server1.com -> Group Policy Objects. Chuột phải tạo new GPO và đặt tên-> OK.(server1.com là tên Domain)
2. GPOS(GROUP POLICY OBJECTS)
Chuột phải vào GPO vừa tạo chọn Edit để thiết lập. Group Policy Management Editor hiện ra, có 2 phần là Computer Configuratuion(thiết
lập cho máy tính) và User Configuratuion(thiết lập cho User). Tao vào mục User Configuratuion -> Administrative Template -> System ->tìm và nhấp
đúp vào “Prevent access to the command prompt Properties” -> Enable -> OK.
2. GPOS(GROUP POLICY OBJECTS)
Để cấm cho 1 Group User nào đó ta chọn Group User đó tại “Group Policy Management” -> chuột phải chọn “Link an Existing GPO…” -> Chọn GPO vừa tạo -> OK.
2. GPOS(GROUP POLICY OBJECTS)
Chạy lệnh gpupdate /force tại của sổ Run để cập nhật GPO. Đăng nhập vào User bất kỳ thuộc Group vừa đặt quyền GPO để
kiểm tra:
2. GPOS(GROUP POLICY OBJECTS)
Tạo thư mục “Du lieu” có 2 thư mục con là “ketoan” và “kinhdoanh”. Cấm để cho các User thuộc group kết toán không có quyền chỉnh Modifly trong thư mục “kinh doanh” và Full control trong thư mục “ketoan”.
3. SHARE PERMISSION
Properties vào thư mục “Du lieu” -> tab Sharing -> Advanced Sharing -> Permissions -> chọn Group Everyone là Full control.
3. SHARE PERMISSION
Properties và thư mục kế toán để phân quyền trên đó: Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với
quyền Full control và Remove Group “Users”.
3. SHARE PERMISSION
Properties và thư mục kế toán để phân quyền trên đó: Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với
quyền Full control và Remove Group “Users”. Làm tương tự với Group “Kinhdoanh”.
3. SHARE PERMISSION
Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ check tại mục Modifly.
3. SHARE PERMISSION
Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ check tại mục Modifly.
3. SHARE PERMISSION
Đăng nhập bằng tài khoản bất kỳ trong Group Ketoan và kiểm tra, ta thấy User này không tạo mới được Folder...
3. SHARE PERMISSION
Cám n các b n đã chú ý theo ơ ạdõi!
H n g p các b n nh ng bài lab ẹ ặ ạ ở ữti p theo!ế
