Tạo và quản lý các nhóm nội bộ trong máy chủ và máy trạm

Derek Melber

Quản trị mạng - Công ty của bạn có hỗ trợ bao nhiêu desktop chạy hệ điều hành Windows? Bao nhiêu máy chủ công ty bạn phải chạy các ứng dụng, file và máy in? Nếu bạn phải quản lý một số lượng lớn các nhóm nội bộ đó thì chắc hẳn sẽ có một số máy chủ nằm ở xa và một số có thể là các máy laptop lưu động. Nếu muốn tạo một nhóm nội bộ trên tất cảc các máy tính đó thì cách bạn sẽ thực hiện sẽ như thế nào? Lập kịch bản? Bên cạnh đó điều gì sẽ xảy ra nếu bạn muốn bảo đảm rằng nhóm quản trị viên nội bộ có các nhóm domain riêng, chẳng hạn như Domain Admin? Lượng thời gian bạn tiêu tốn cho việc thiết lập các công việc đó là bao nhiêu? Với Group Policy Preferences mới, các nhiệm vụ đó quả thực được thực hiện hoàn toàn dễ dàng có thể áp dụng đối với các desktop và các máy chủ được thiết kế để nhận các thiết lập đó.

Cơ bản về Group Policy Preferences

Group Policy Preferences là một kiểu thiết lập Group Policy Object mới được cung cấp trong Windows Sever 2008 server và Windows Vista SP1. Để tránh hiện tượng làm bạn khó hiểu về các chi tiết về Group Policy Preferences nhưng vẫn cung cấp đầy đủ sự kiểm soát về các nhóm nội bộ, chúng tôi chỉ giới thiệu tóm lược những gì cần thiết đối với nhiệm vụ này.

Để có được Group Policy Preferences, bạn cần phải có máy chủ Windows Server 2008 hoặc máy trạm Windows Vista phiên bản SP1 và đã cài đặt RSAT trên các hệ điều hành đó. Cả hai máy tính này đều có Group Policy Management Console (GPMC) đã được cài đặt trên chúng, đây chính là thành phần cần thiết để quản trị Group Policy Preferences.

Tiếp đến, bạn cần phải cài đặt phần mở rộng phía trình khách (CSE) trên các máy tính Windows XP SP2, Windows Server 2003 SP1 và Windows Vista SP1. Bạn có thể download các thành phần này từ Microsoft và cài đặt chúng một cách thủ công (Windows Server Group Policy Home), hoặc lấy các thành phần này từ máy chủ WSUS của bạn. Sau khi cài đặt CSE, các máy tính này (và các máy chủ Windows Server 2008 của bạn đã cài đặt CSE mặc định) sẽ hoàn toàn sẵn sàng nhận các thiết lập Group Policy Preference.

Cuối cùng, bạn chỉ cần tạo, liên kết và cấu hình GPO được liên kết với một đơn vị tổ chức gồm có máy tính hoặc người dùng mà bạn muốn. Cấu hình Group Policy Preference như những gì bạn muốn thiết lập, đó là tất cả công việc.

Tạo các nhóm nội bộ (New Local Groups)

Việc tạo một new local group trên một số lượng lớn các máy trạm có thể là một nhiệm vụ khá khó khăn. Tuy nhiên Group Policy Preferences cung cấp một cách dễ dàng để có thể thực hiện nhiệm vụ này trên tất cả các máy trạm và các máy chủ Windows của bạn. Bạn có thể tạo một nhóm nội bộ mới trên máy chủ hoặc máy trạm bằng cách thực hiện (targeting) với đối tượng máy tính hoặc đối tượng người dùng. Trong hầu hết các trường hợp có lẽ bạn sẽ muốn tạo một nhóm nội bộ mới mà bạn sẽ target với các đối tượng máy tính.

Để thực hiện điều đó, bạn hãy tạo và liên kết một GPO với một đơn vị tổ chức có chứa đối tượng máy tính mà bạn muốn target đến. Soạn thảo GPO và mở Computer Configuration|Preferences|Control Panel Settings|Local Users and Groups. Kích chuột phải vào Local Users and Groups sau đó chọn New - Local Group. Thao tác này sẽ mở ra hộp thoại New Local Group, hộp thoại được thể hiện trong hình 1.

Hình 1: Hộp thoại New Local Group khi thiết lập cho một tài khoản máy tính

Để tạo một nhóm mới, bạn hãy chọn tùy chọn Create trong phần Action. Sau đó đánh vào tên của nhóm nội bộ, mô tả của nó,… Hình 2 là một ví dụ về việc tạo một nhóm nội bộ mới có tên LocalHelpDesk.

Hình 2: Nhóm nội bộ mới có tên LocalHelpDesk
đã được tạo bằng Group Policy Preferences

Điều chỉnh thành viên nhóm nội bộ bằng Group Policy Preferences

Nếu tạo các nhóm nội bộ mới hoặc thay đổi các nhóm đang tồn tại thì bạn có thể điều khiển thành viên nhóm của nhóm nội bộ bằng Group Policy Preferences. Nhiệm vụ này có thể được thực hiện bằng cách sử dụng Restricted Groups (các nhóm hạn chế) có trong Group Policy(Computer Configuration|Windows Settings|Security Settings|Local Policies|Restricted Groups), tuy nhiên sử dụng Group Policy Preferences để hoàn thành nhiệm vụ sẽ mang đến cho bạn nhiều thiết lập tinh tế hơn.

Restricted Groups là một điều khiển “xóa và thay thế”, được dùng để xóa các thành viên của nhóm trong một danh sách hiện hành trước khi thay thế chúng bằng một danh sách người dùng và nhóm được cấu hình trong chính sách.

Group Policy Preference cho Local Groups khác biệt khá nhiều so với trên. Với tính năng này, bạn có thể kiểm soát tài khoản người dùng hoặc nhóm nào được thêm, tài khoản nào bị xóa,… Hình 3 có thể hiện một cấu hình sau khi bạn đã điều chỉnh nhóm LocalHelpDesk.

Hình 3: Các thành viên nhóm của nhóm nội bộ có thể được kiểm soát chặt chẽ hơn

Lưu ý rằng các hộp kiểm “Remove all user accounts” và “Remove all group accounts” có thể bị bỏ không chọn hoặc được cấu hình. Nếu bạn cấu hình cả hai hộp kiểm này thì chính sách Local Group sẽ xử lý như Restricted Groups.

Một điểm đáng lưu ý khác ở đây là khả năng thêm hoặc xóa bớt người dùng hoặc nhóm mới. Hình 4 thể hiện thiết lập khi bạn thêm một nhóm mới vào danh sách thành viên, từ đó cho phép bạn có khả năng thêm hoặc remove nhóm từ nhóm nội bộ đang quản lý.

Hình 4: Các thành viên của nhóm cấu hình có thể được thêm hoặc bớt

Quản lý Local Administrators hoặc Local Group khác

Nếu muốn quản lý một nhóm nội bộ đang tồn tại, bạn có thể thực hiện điều đó hoàn toàn dễ dàng. Chúng tôi sẽ giới thiệu một tình huống trong đó chúng tôi đã thay đổi thành viên nhóm. Mặc dù còn có nhiều thao tác khác nữa nhưng ở đây chúng tôi chỉ muốn tập trung vào nhóm quản trị viên nội bộ, nhóm cần thiết cho việc quản lý máy tính nội bộ. Nếu một người dùng là thành viên nhóm trong nhóm này thì người dùng đó có thể thực hiện bất cứ thứ gì trên máy tính đó mà không cần quan tâm đến các cấu hình từ miền. Chính vì vậy nó đòi hỏi bạn phải quản lý hội viên của nhóm.

Trong hầu hết các trường hợp, các quản trị viên đều muốn có nhóm Domain Admins và tài khoản quản trị viên nội bộ là thành viên trong nhóm quản trị viên nội bộ. Thêm vào đó là các quản trị viên không muốn người dùng có tài khoản của họ là các thành viên trong nhóm quản trị viên nội bộ.

Để thực hiện tất cả điều đó một cách nhanh chóng trong việc cấu hình Group Policy Preference, bạn hãy cấu hình chính sách nhóm nội bộ mới trong nút the User Configuration|Preferences|Control Panel|Local Users and Groups thay vì trong Computer Configuration. Hình 5 thể hiện cho các bạn thấy rằng tại sao nên cấu hình chính sách trong nút User Configuration.

Hình 5: Chính sách nhóm nội bộ trong chế độ User Configuration

Lưu ý rằng Local Group Policy trong hình 5 có một hộp kiểm mới, “Remove the current user”. Hộp kiểm này sẽ sử dụng tài khoản người dùng đã được sử dụng để đăng nhập vào máy tính nằm trong nhóm ngoài nhóm quản trị viên. Như những gì bạn thấy, đây là một thiết lập rất mạnh. Kết hợp với sự bổ sung của quản trị miền Domain Admins và quản trị nội bộ local Administrator, như thể hiện trong hình 5, bạn có thể thực hiện nhiệm vụ này một cách nhanh chóng.

Kết luận

Tạo, quản lý và điều khiển các nhóm nội bộ chưa bao giờ là một nhiệm vụ dễ dàng. Tuy nhiên với sự xuất hiện của Group Policy Preferences, các nhóm nội bộ có thể được điều khiển một cách chặt chẽ. Chúng có thể được tạo và thành viên của nhóm có thể được kiểm soát một cách dễ dàng. Thành viên nhóm có thể được kiểm soát bằng việc thêm hoặc remove các tài khoản nhóm hoặc người dùng nội bộ. Điều này có thể được thực hiện mà không hề phá hủy tính nguyên vẹn của các thành viên nhóm khác, như trong Restricted Groups.