Bài tập về group policy trong win server 2023 năm 2024
- 1. SÁCH GROUP POLICY Trong chương này chúng ta sẽ triển khai các chính sách Group Policy theo quy định về công nghệ thông tin của các công ty, doanh nghiệp. 1.1 CHÍNH SÁCH GPO CƠ BẢN 1.1.1 Yêu cầu - Đặt màn hình nền Desktop tất cả các máy tính. - Khóa Registry. - Không hiển thị Last Logon. - Khóa Task Manager. - Cấm DOS Command. - Remove RUN. - Sao lưu phục hồi Group Policy. 1.1.2 Chuẩn bị Một máy Server Windows Server 2012 Datacenter đã nâng cấp lên Domain Controller :bkaptech.vn. - Tạo các OU tương ứng. - Triển khai các chính sách trên phòng ban IT. - Kiểm tra các chính sách khi áp dụng cho phòng ban IT bằng cách đăng nhập tài khoản thuộc phòng ban IT trên máy BKAP-WRK08-01.
- 2. lab Bảng địa chỉ IP: Thông số BKAP-DC12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.10 Subnet Mask 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 DNS server 192.168.1.2 192.168.1.2 1.1.4 Các bước thực hiện Thực hiện trên máy BKAP-DC12-01,tạo OU, group, User như mô hình, add user vào Group.
- 3. mục wallpaper trong ổ C [ thư mục chứa background màn hình nền ] , tiến hành chia sẻ thư mục.
- 4. GPO trên máy BKAP-DC12-01 :Tạo các chính sách trên phòng ban IT. Vào Server Manager / Tools / Group Policy Management. Tại cửa sổ Group Policy Management, click chuột phải vào OU IT, chọn Create a GPO in this domain, and Link it here…
- 5. sổ New GPO, nhập vào: Name : set wallpaper OK. Click chuột phải tại chính sách set wallpaper vừa tạo, chọn Edit..
- 6. sổ Group Policy Management Editor, click chọn vào User Configuration / Policies / Administrative Template.. / Desktop / Desktop. Chọn vào Desktop Wallpaper. Click vào Desktop Wallpaper, chọn Edit.
- 7. sổ Desktop Wallpaper, click vào Enable. Tại Wallpaper Name : đưa vào đường dẫn folder wallpaper vừa share ở trên. Wallpaper Name : 192.168.1.2wallpaperabc.jpg Cập nhật GPO: Cmd / gõ lệnh gpupdate /force
- 8. máy Clien Win 8, đăng nhập bằng tài khoản hungnq trong phòng ban IT để kiểm tra. Client đã câp nhật màn hình nền thành công.
- 9. máy BKAP-DC12-01, tạo chính sách Block Registry. Click chuột phải tại OU IT, chọn Create a GPO in this domain…
- 10. sổ New GPO, nhập vào tên Name : Block registry. Click chuột phải vào chính sách Block Registry vừa tạo, chọn Edit.
- 11. sổ Group Policy Managerment Editor, chọn vào mục User Configuration / Policies / Administrative Templates .. / System ,chọn vào chính sách Prevent access to registry editing tools., tại đây click chuột phải chọn Edit. Tại cửa sổ Prevent access to registry editing tools , click chọn vào Enable , Apply , OK.
- 12. chính sách bằng lệnh gpupdate /force trong cmd. Chuyển sang máy Client Win 8 đăng nhập bằng tài khoản hungnq trong phòng ban IT để kiểm tra.
- 13. máy BKAP-DC12-01, tạo thêm chính sách chặn Task Manager. Click chuột phải tại OU IT, chọn Create a GPO in this domain… Tại cửa sổ New GPO, nhập vào tên chính sách Name : Chặn Task Manager. Click chuột phải vào chính sách vừa tạo, chọn Edit.
- 15. sổ Group Policy Management Editor, chọn vào User Configuration / Policies / Administrative Template… / System / Ctrl+Alt+Del Options. Chọn vào chính sách Remove Task Manager. Tại cửa sổ Remove Task Manager , click vào Enable , Apply , OK.
- 16. chính sách bằng lệnh gpupdate /force trong cmd.
- 17. máy Client Win 8 kiểm tra, Task Manager đã bị khóa. Chuyển về máy BKAP-DC12-01, tại OU IT, tạo chính sách Block cmd.
- 18. sổ Group Policy Management Editor, click vào User Configuration /… System , chọn vào chính sách Prevent access to the command prompt. Tại chính sách này, click chuột phải chọn Edit, Enable , Apply , OK. Cập nhật chính sách bằng lệnh gpupdate /force trong cmd.
- 19. máy Client Win 8 kiểm tra chính sách Block cmd. 1.2 GIÁM SÁT VÀ QUẢN LÝ TỆP TIN, FILE 1.2.1 Yêu cầu - Tạo OU, tài khoản người dùng và tài khoản nhóm theo miền bkaptech.vn - Tạo lần lượt các thư mục IT , Sale trên máy BKAP-SRV12-01. - Cấu hình giám sát tệp tin và bắt xóa File - Kiểm tra sau khi xóa file. 1.2.2 Chuẩn bị - Máy BKAP-DC12-01 dùng để tạo OU, Group, User. - Máy BKAP-SRV12-01 Join vào miền, dùng để tạo thư mục và phân quyền truy cập thư mục. - Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra xóa file.
- 20. lab Bảng địa chỉ IP: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 1.2.4 Các bước thực hiện Trên máy BKAP-DC12-01, thực hiện tạo OU, Group, User, add User vào Group.
- 21. phân giải địa chỉ IP : Chuyển sang máy BKAP-SRV12-01, tiến hành Join vào domain, đăng nhập bằng tài khoản Administrator.
- 22. C của máy SRV12-01. Tạo thư mục HN, trong thư mục HN, tạo 2 thư mục IT và Sale. Tiến hành chia sẻ, phân quyền 2 thư mục IT và Sale[xem lại bài Lab 10.1]
- 23. ghi lại hoạt động của thư mục: Trong cửa sổ Advanced Security Settings for IT, chuyển sang tab Auditing, tại đây click vào Add. Tại cửa sổ Auditing Entry for IT, click vào dòng chữ xanh Select a principal.
- 24. sổ Select User, Computer … thêm vào group GG_S_IT. Chọn vào dòng chữ xanh Show advanced permissions.
- 25. sổ Advanced permissions, bỏ chọn các quyền đã được tích dấu, chọn vào các quyền sau: Create file / write data Create folders / append data Write attributes Write extended Detele subfolder Delete. OK. Trong thư mục IT, tạo các thư mục và các file con để kiểm tra.
- 26. máy Domain Controller triển khai chính sách ghi lại hoạt động của thư mục. Vào dịch vụ Active Directory User and Computer, di chuyển máy BKAP- SRV12-01 vào OU IT.
- 27. chính sách xóa File trong các phòng ban: Vào Group Policy Management. Tại OU HANOI, tạo 1 chính sách tên “bắt xóa file”. Click chuột phải tại chính sách vừa tạo, chọn Edit. Trong cửa sổ Group policy Management Editor, click vào Compuer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy. Chọn chính sách Audit object access. Click chuột phải tại chính sách này, chọn Properties.
- 28. sổ Audit object access Properties, click chọn vào Define these policy settings và 2 tùy chọn Success , Failure. Apply / OK.
- 29. lệnh gpupdate /force trong cmd để áp dụng chính sách. Chuyển sang máy Client Win 8, Join vào Domain, đăng nhập bằng tài khoản hungnq trong phòng ban IT, truy cập vào thư mục IT ,xóa File cũ, tạo File mới.
- 30. cũ, tạo File mới. Chuyển sang máy BKAP-SRV12-01 kiểm tra xóa file: Vào Event Viewer. Trong cửa sổ Event Viewer, click chọn Windows Log / Security Click chuột phải tại Security / chọn Filter Current Log.
- 31. sổ Filter Current Log , nhập vào ID 5145, tiến hành kiểm tra. 1.3 CHÍNH SÁCH GPO GIỚI HẠN PHẦN MỀM 1.3.1 Yêu cầu - Tạo OU, tài khoản người dùng và Group theo miền. - Triển khai chính sách chặn phần mềm Firefox. - Sử dụng tài khoản trong miền kiểm tra truy cập sau khi chặn dịch vụ. 1.3.2 Chuẩn bị - Máy BKAP-DC12-01 dùng để tạo OU, Group, User, quản lý miền bkaptech.vn - Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra.
- 32. lab Bảng địa chỉ IP: Thông số BKAP-DC12-01 BKAP-SRV12-01 IP address 192.168.1.2 192.168.1.10 Subnet Mask 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 DNS Server 192.168.1.2 192.168.1.2 1.3.4 Các bước thực hiện Trên máy BKAP-DC12-01, tạo OU, Group, User , Add User vào Group Di chuyển máy Client vào OU IT
- 33. sổ Group Policy Management , tạo chính sách “Chặn Firefox” cho phòng ban IT. Tạo chính sách chặn phần mềm Firefox.
- 34. phải tại chính sách vừa tạo, chọn Edit. Tại cửa sổ Group Policy Management Editor , chọn vào Computer Configuration / Policies / Windows Settings / Security Settings / Application Control Policies / Applocker Click chuột phải tại Applocker chọn Properties.
- 35. sổ Applocker Properties / Tab Enfocement , Tích vào Configured tại Executable rules / OK. Click vào Applocker / Executable Rules , click chuột phải chọn Create New Rule…
- 36. sổ Create Executable Rules / Permissions : Action : Deny Tại cửa sổ Publisher ,Browse đến “firefox” trong ổ C Kéo con trỏ ở dưới lên phần Any publisher. Next. Tại cửa sổ Name and Description nhập vào: Name : Chan Firefox. Create. Xóa Rule BULTINAdministrator …
- 37. Policy Management / Computer Configuration / … Secutiry Settings / System Services , chọn vào Application Identity. Click chuột phải tại Application Identity, chọn Properties.
- 38. sổ Application Identity Properties , chọn vào Automatic. Sử dụng câu lệnh gpupdate /force trong cmd để áp dụng chính sách.
- 39. máy Client Win 8, đăng nhập bằng tài khoản hungnq trong phòng ban IT để kiểm tra