My OperaRestricted Group in Windows Server 2003
Thursday, July 15, 2010 7:40:21 AM
Có một số vấn đề thông thường mà các nhà quản trị mạng phải đối mặt trong một môi trường Windows. Chủ đề này sẽ thảo luận về sự khó khăn trong việc điều khiển thành viên trong các nhóm cục bộ (local group) trên các máy trạm và máy chủ. Nếu doanh nghiệp hoặc tổ chức của bạn có quy mô vừa hoặc lớn, bạn có thể có đến hàng ngàn máy trạm và hàng trăm máy chủ mà bạn cần phải quản lý. Việc cố gắng quản lý một cách nhân công tất cả các nhóm cục bộ của tất cả các máy tính là khó khăn, và hầu như là không thể.
Hiển nhiên là chúng ta không thể chịu bó tay hoặc cố gắng trong vô vọng, vì đã có các đối tượng chính sách nhóm (Group Policy Objects – GPOs)! GPOs cung cấp một cơ chế mà cho phép bạn điều khiển thành viên của các nhóm cục bộ, và thậm chí là các nhóm của miền (domain group), trên bất kỳ máy tính nào trong Active Directory. Cấu hình cụ thể mà bạn sử dụng cho các tác vụ này là cài đặt Restricted Groups của GPO.
Hiển nhiên là chúng ta không thể chịu bó tay hoặc cố gắng trong vô vọng, vì đã có các đối tượng chính sách nhóm (Group Policy Objects – GPOs)! GPOs cung cấp một cơ chế mà cho phép bạn điều khiển thành viên của các nhóm cục bộ, và thậm chí là các nhóm của miền (domain group), trên bất kỳ máy tính nào trong Active Directory. Cấu hình cụ thể mà bạn sử dụng cho các tác vụ này là cài đặt Restricted Groups của GPO.
Bạn có thể tìm thấy Restricted Groups ở đâu?
Restricted Groups là một nốt (node) bên trong tất cả các GPO. Trong trường hợp này, tôi chỉ ám chỉ đến các GPO mà chúng cư trú trong Active Directory, không phải là các GPO cục bộ mà tồn tại trên từng máy tính. Nốt Restricted Groups tồn tại bên dưới nốt Computer Configuration|Windows Settings|Security Settings của bất kỳ GPO nào trong Active Directory. Bạn có thể nhìn thấy đường dẫn này nốt Restricted Groups trong hình dưới đây.
Có hai điều đáng lưu ý đối với hình trên. Đầu tiên, chính sách Restricted Groups ảnh hướng đến tài khoản máy tính (computer account), không phải tài khoản người dùng (user account). Do đó, bạn sẽ cần hướng đến các GPO (mà nơi đó bạn cấu hình Restricted Groups) của các đơn vị tổ chức (organizational unit – OU) mà chứa các tài khoản máy tính. Thứ hai, Restricted Groups không được cấu hình mặc định. Không có GPO mới nào có Restricted Groups đã được cấu hình ngay từ đầu. Hai GPO mặc định, Default Domain Policy và Default Domain Controller Policy cũng không có bất kỳ Restricted Groups được cấu hình một cách mặc định.
Điều gì mà một Restricted Group có thể cung cấp?
Cài đặt Restricted Group cho phép bạn cấu hình thành viên trong các nhóm bên trong Active Directory hoặc trong Security Accounts Manager (SAM) cục bộ của các máy trạm và các máy chủ mà chúng đã tham gia (join) vào miền (domain). Cài đặt Restricted Group chỉ khả dụng trong một GPO đã liên kết đến một nốt của Active Directory, cài đặt này được được tập trung cho cả sự quản trị và sự triển khai.
Để tạo một Restricted Group, bạn chỉ cần tạo một GPO, sau đó truy cập nốt Restricted Groups như đã mô tả ở trên. Tại một nốt Restricted Groups, bạn sẽ nhấp phải (right-click) trên nó và chọn Add Group. Nhập vào tên nhóm, hoặc duyệt tìm nó trong cơ sở dữ liệu của Active Directory. Sau khi bạn tạo nhóm, nó sẽ hiện lên trong khung bên tay phải bên dưới cột Group Name.
Có hai cách khác nhau để điều khiển thành viên của các nhóm bằng Restricted Groups. Cách thứ nhất điều khiển thành viên của một nhóm dự kiến, và cách thứ hai điều khiển những nhóm nào mà nhóm dự kiến đó là thành viên bên trong.
* Members of this group – cài đặt này cho phép bạn điều khiển thành viên của nhóm mà bạn chỉ ra trong chính sách. Những thành viên có thể được thêm vào bao gồm cả tài khoản người dùng và nhóm. Khi bạn cấu hình thành viên của một nhóm, nó sẽ ghi đè lên thành viên đã có của nhóm và thay thế các thành viên bằng những thành viên được chỉ ra trong GPO. Nếu bạn phải cấu hình cài đặt này và bỏ trong danh sách thành viên, thì nhóm này sẽ không có bất kỳ thành viên nào sau khi GPO được áp dụng cho máy tính.
Để cấu hình các thành viên của một Restricted Group, bạn sẽ nhấp đúp (double-click) tên nhóm mà bạn tạo bên dưới nốt Restricted Group. Điều này sẽ mở lên hộp thoại Properties của nhóm. Sau đó, bạn sẽ nhấp nút Add của khu vực “Members of this group”, như hình sau.
* This group is a member of – cài đặt này cho phép bạn điều khiển những nhóm khác mà nhóm dự kiến là thành viên bên trong chúng. Tất cả nhóm mà bạn cấu hình trong giao diện này phải phù hợp với các quy tắt lồng nhóm. Do đó, bạn không thể cấu hình một nhóm cục bộ trở thành thành viên của một nhóm khác, các nhóm cục bộ không thể được đặt trong các nhóm của Active Directory, hay là đặt bên trong các nhóm cục bộ khác. Nếu danh sách các nhóm trong khu vực này được để trống, nó sẽ không gỡ bỏ nhóm dự kiến ra khỏi bất kỳ nhóm nào đã có, nó chỉ không đặt bổ sung nhóm này vào những nhóm khác.
Để cấu hình thành viên trong những nhóm khác của một Restricted Group, bạn sẽ nhấp đúp tên nhóm mà bạn đã tạo bên dưới nốt Restricted Groups. Điều này sẽ mở lên hộp thoại Properties của nhóm. Sau đó, bạn sẽ nhấp nút Add của khu vực “This group is a member of”, như hình sau.
Những cách dùng thông thường của Restricted Groups
Có một vài cách dùng thông thường của Restricted Groups trong các công ty với đủ mọi quy mô hay kích cỡ. Ở đây là một số cách mà bạn có thể tận dụng đầy đủ ưu điểm của Restricted Groups cho những tình huống khác nhau trên các máy trạm, các máy chủ, và các máy chủ điều khiển miền (domain controller).
* Điều khiển thành viên của nhóm cục bộ Administrators trên tất cả các máy tính bao gồm những tài khoản sau:
o Administrator (local built-in account)
o Domain Admins
o SMS hoặc tài khoản có quyền điều khiển từ xa (remote)
Một lợi ích không trực tiếp khác của việc sử dụng cài đặt Restricted Group là nó tự động gỡ bỏ bất kỳ tài khoản người dùng cục bộ mà sẽ có thể được thêm vào nhóm Administrators. Điều này cơ bản bao gồm cả những tài khoản người dùng cục bộ mà đã được tạo bởi người dùng của máy tính, qua mặt sự bảo mật miền.
* Điều khiển thành viên của nhóm Enterprise Admins và Schema Admins. Những nhóm này không nên được sử dụng thường xuyên, trừ khi một sự thay đổi lớn và quan trọng sẽ xảy ra đối với một phần của Active Directory. Bằng cách sử dụng cài đặt Restricted Group, bạn có thể quản lý và điều khiển thành viên tốt hơn và đảm bảo rằng một tài khoản không phù hợp không được thêm vào những những nhóm này một cách sai trái.
* Điều khiển thành viên của các nhóm cục bộ trên các máy chủ tài liệu (file server). Các máy chủ tài liệu về cơ bản có nhiều nhóm cục bộ. Những nhóm cục bộ này ẩn mình một cách đặc trưng trong các nhóm toàn cục (global group) từ Active Directory. Bạn có thể sử dụng Restricted Groups để giữ thành viên của những nhóm này nhất quán và vững chắc từ một vị trí trung tâm của Active Directory.
Những thủ thuật dành cho Restricted Groups
Đây là một vài thủ thuật để đảm bảo rằng sự triển khai Restricted Groups của bạn được trôi chảy.
* Đảm bảo rằng các GPO được liên kết đến các OU mà chứa các tài khoản máy tính
* Đảm bảo rằng bạn không có gắng cấu hình sai quy tắt lồng nhóm
* Khi thêm các thành viên vào một nhóm, bạn sẽ cần thêm tất cả các thành viên thông qua GPO
* Sử dụng Restricted Groups để điều khiển thành viên của các nhóm quản trị chủ chốt bên trong Active Directory
* Kiểm thử sự triển khai một cách kỹ lưỡng trước khi bạn triển khai vào môi trường sản xuất, để đảm bảo rằng bạn không ngăn cản khả năng cần thiết của người dùng hoặc khóa chính bạn ra khỏi một máy tính nào đó.
Tóm lược
Các Restricted Group rất mạnh mẽ bởi vì chúng có thể điều khiển bất kỳ nhóm nào, trên bất kỳ máy tính nào bên trong miền. Năng lực này sau đó được tăng lên bởi vì khả năng quản trị tập trung của các GPO bên trong Active Directory. Các Restricted Group cho phép đối với những cấu hình nhất quán của các nhóm trên mỗi máy tíh đơn lẻ trong tổ chức, bao gồm tất cả máy trạm, máy chủ, và máy chủ điều khiển miền. Bạn sẽ cần kiểm thử sự triển khai của bạn một cách kỹ lưỡng, để đảm bảo rằng bạn nhận được những kết quả mà bạn mong đợi trước khi bạn kéo bất cứ thứ gì ra ngoài môi trường sản xuất.
Theo WindowSecurity.com- Tác giả: Derek Melber
Copied from diendancntt.vn
Policy này kết hợp với thuộc tính Log on to trong tab Account khi Properties user account thì rất chặt chẽ.
