Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003

Sử dụng tính năng lọc bảo mật để áp dụng chính sách nhóm trong Windows 2003

Điều gây nhầm lẫn về chính sách nhóm là tên của nó làm nhiều người tưởng rằng các chính sách nhóm sẽ được áp dụng trực tiếp cho các nhóm (group). Tuy nhiên, chính sách nhóm chỉ được áp dụng cho tài khoản người dùng hoặc tài khoản máy, bằng cách liên kết các đối tượng chính sách nhóm (GPO), tức tập hợp các thiết lập về chính sách, tới một đơn vị tổ chức (OU) miền (domain) hoặc địa bàn (site) chứa tài khoản đó. Một số người có thể đặt câu hỏi: “Làm thế nào tôi có thể áp dụng GPO cho một nhóm?”. Tính năng lọc bảo mật sẽ là câu trả lời cho câu hỏi này.

?>?>?>?> 

Tìm hiểu về security filtering

 

Việc áp dụng security filtering dựa trên nguyên tắc các GPO cũng được liên kết với một ACL (danh sách kiểm soát truy nhập). ACL là một tập hợp các ACE (đầu mục kiểm soát truy nhập) quy định quyền truy nhập vào đối tượng cho các nhóm khác nhau. Bạn có thể xem ACL bằng cách sau đây:

 

1. Mở Group Policy Management Console (GPMC)

 

2. Mở rộng cây điều khiển bên trái cho tới khi bạn tìm thấy node Group Policy Objects

 

3. Chọn GPO bạn muốn xem ACL mặc định dưới node Group Policy Object (trong trường hợp này là Vancouver GPO)

 

4. Chọn tab Delegation ở khung bên phải (Hình 1)

 

 

Hình 1: Sử dụng tab Delegation để xem ACL của ?>?>?>?>Vancouver GPO

 

Muốn xem các ACE của ACL liên kết với GPO này, kích chuột vào phím Advanced để hiển thị cửa sổ ACL Editor (Hình 2):

 

 

Hình 2: Sử dụng ACL Editor để xem ACL của Vancouver GPO

 

Điểm khác nhau cơ bản giữa 2 hình trên là ACL Editor hiển thị quyền Apply Group Policy trong khi tab Delegation không hiển thị quyền này. Đó là vì tab Delegation chỉ hiển thị các ACE cho các nhóm thực hiện việc xử lý GPO và những nhóm này được ngầm hiểu có quyền Apply Group Policy. Nếu bạn muốn một nhóm trong một OU sẽ xử lý các thiết lập trong một GPO liên kết với OU đó, nhóm này sẽ phải có tối thiểu các quyền sau đây:

 

– Allow Read

 

– Allow Apply Group Policy

 

Các ACE mặc định của một GPO mới được tạo có thể phức tạp hơn tuỳ vào việc bạn gán thêm các quyền như thế nào nhưng đứng trên góc độ của security filtering, dưới đây là các quyền cơ bản:

 

Nhóm Read Apply Group Policy
Authenticated Users Allow Allow
CREATOR OWNER Allow (implicit)

 

Domain Admins Allow

 

Enterprise Admins Allow

 

ENTERPRISE DOMAIN CONTROLLERS Allow

 

SYSTEM Allow

 

 

Lưu ý rằng các nhóm Domain Admins, Enterprise Admins sẽ có thêm một số quyền khác (Write, Create, Delete), cho phép những người thuộc các nhóm này tạo và quản lý các GPO. Bởi vì những quyền này không liên quan tới security filtering nên tạm thời chúng ta không xem xét tới.

 

Nhóm Authenticated Users có cả quyền Read và Apply Group Policy, nghĩa là các thiết lập trong GPO sẽ được áp dụng đối với nhóm đó khi GPO được xử lý. Nhưng thực sự Authenticated Users gồm những ai? Thành viên của nó là tất cả các đối tượng bảo mật, tức tất cả các user account và computer account của miền đã được AD xác thực. Điều đó có nghĩa là theo mặc định tất cả những thiết lập trong GPO sẽ được áp dụng đối với tất cả user account và computer account nằm trong container có GPO liên kết tới.

 

Sử dụng security filtering

 

Giả sử bạn đứng trước một tình huống cần sử dụng tính năng security filtering để giải quyết một vấn đề liên quan tới việc thiết kế Group Policy. Hình 3 cho thấy cấu trúc của  OU của hệ thống. OU mức cao nhất Vancouver có 3 OU cấp hai, mỗi OU cho một phòng khác nhau, các user account và computer account trong mỗi phòng được đưa vào các OU cấp 3 riêng rẽ.

 

 

Hình 3: Cấu trúc OU cho văn phòng Vancouver

 

Giả sử rằng trong số 15 người làm việc trong phòng Sales and Markeitng Department ở Vancouver, có 3 người là nhân viện quản lý và cần được cấp một số quyền đặc biệt, chẳng hạn có thể sử dụng một phần mềm nào đó mà những người khác trong văn phòng không được phép. Bạn có thể cung cấp phần mềm đó cho họ bằng cách quảng bá nó trong Add or Remove Programs thông qua một GPO.  Vấn đề là ở chỗ, nếu bạn liên kết GPO này với OU Sales and Marketing Users thì tất cả 15 người sử dụng trong phòng sẽ có thể cài đặt phần mềm này thông qua công cụ Add or Remove Program. Nhưng bạn muốn chỉ 3 nhân viên cao cấp này được phép sử dụng phần mềm, vậy phải làm như thế nào?

 

Bạn có thể tạo một OU khác dưới OU Sales and Marketing User và đặt tên cho OU này là Senior Sales and Marketing Users OU, sau đó bạn chuyển tài khoản của 3 nhân viên cao cấp tới OU mới và tạo một GPO triển khai phần mềm rồi liên kết nó với OU mới. Cách tiếp cận này hoàn toàn khả thi song nó có một số điểm bất lợi:

 

– Nó sẽ tạo cấu trúc OU có nhiều cấp và phức tạp hơn, khó hiểu hơn

 

– Nó sẽ phân tán tài khoản người sử dụng vào nhiều container hơn và như vậy việc quản trị sẽ khó hơn

 

Một giải pháp tốt hơn là giữ nguyên cấu trúc OU và vẫn để nguyên 15 người sử dụng trong OU Sales and Marketing Users rồi tạo một GPO triển khai phần mềm và liên kết với OU này (Hình 4) và sau đó sử dụng tính năng security filtering để chỉ cho phép 3 nhân viên cấp cao nhận được chính sách. 

 

Hình 4: GPO triển khai phần mềm cho các nhân viên cao cấp trong OU Sales and Marketing Users

 

Để lọc GPO triển khai phần mềm sao cho chỉ Bob Smith, Mary Jones và Tom được áp dụng chính sách, đầu tiên bạn hãy vào công cụ quản trị Active Directory Users and Computers để tạo một nhóm global và đặt tên cho nhóm này là  Senior Sales and Marketing Users với các thành viên là 3 nhân viên cao cấp trên (hình 5).

 

 

Hình 5: Các thành viên của nhóm global Senior Sales and Marketing Users

 

Lưu ý rằng bạn có thể lưu nhóm bảo mật này vào trong bất kỳ container nào của domain nhưng để đơn giản bạn hãy đặt nó trong Sales and Marketing Users GPO vì đây cũng là nơi chứa các thành viên của nhóm.

 

Bây giờ quay trở lại GPMC, chọn GPO triển khai phần mềm trong khung bên trái và trên tab Scope ở khung bên phải hãy loại bỏ nhóm Authenticated User khỏi mục Security Filtering và sau đó đưa vào mục này nhóm global Senior Sales and Marketing Users vừa tạo (Hình 6). 

 

Hình 6: Lọc GPO để chỉ  ảnh hưởng tới nhóm Senior Sales and Marketing Users

 

Đó là tất cả những gì chúng ta cần làm. Từ giờ trở đi khi chính sách được xử lý cho những người sử dụng trong OU Sales and Marketing Users, động cơ xử ký Group Policy ở máy trạm sẽ xác định những GPO nào sẽ được áp dụng đối với người sử dụng đó. Nếu người sử dụng là thành  viên của nhóm Senior Sales and Marketing Users, những GPO sau sẽ được áp dụng theo đúng thứ tự trong danh sách (giả sử chúng ta không lọc chặn GPO ở bất cứ nơi nào).

 

1. Default Domain Policy

 

2. Vancouver GPO

 

3. Sales and Marketing GPO

 

4. Sales and Marketing Users GPO

 

5. Senior Sales and Marketing Users GPO

 

6. Default Domain Policy

 

7. Vancouver GPO

 

8. Sales and Marketing GPO

 

9. Sales and Marketing Users GPO

 

10. Senior Sales and Marketing Users GPO

 

Nếu người sử dụng không thuộc nhóm 3 nhân viên cao cấp ở trên thì chính sách cuối cùng (Senior Sales and Marketing Users GPO) sẽ không áp dụng đối với họ. Nói cách khác, chỉ Bob, Mary và Tom nhận được gói phần mềm quảng bá như chúng ta mong muốn.

 

Ưu điểm của security filtering

 

Ưu điểm của security filtering là nó cho phép chúng ta đơn giản hóa cấu trúc OU trong khi vẫn đảm bảo các chính sách nhóm được xử lý theo cách chúng ta mong muốn. Lấy ví dụ, trong cấu trúc OU cho Vancouver ở bài viết này, chúng ta có 3 OU riêng rẽ cho 3 phòng ban khác nhau: IT Department, Management và Sales and Marketing. Tại một nơi khác, Toronto, chúng ta có thể tiếp cận theo một cách khác và dồn tất cả người sử dụng và máy tính lại như trong Hình 7.

 

 

Hình 7: Toronto có cấu trúc OU đơn giản hơn Vancouver

 

Chúng ta có thể nhóm các tài khoản người dùng và tài khoản máy tính ở Toronto vào các nhóm global như sau:

 

– IT Department Users

 

– IT Department Computers

 

– Management Users

 

– Management Computers

 

– Sales and Marketing Users

 

– Sales and Marketing Computers

 

Sau đó chúng ta sẽ tạo GPO cho mỗi nhóm nhóm người sử dụng và máy tính tại Toronto, liên kết những GPO này với các OU tương ứng và sử dụng tính security filtering để đảm bảo chúng chỉ áp dụng cho những nhóm nhất định. (Hình 8)

 

 

Hình 8: Sử dụng Group Policy để quản lý người sử dụng tại Toronto

 

Nhược điểm của cách tiếp cận này là nó làm phẳng cấu trúc OU và làm tăng số GPO liên kết với mỗi OU. Đối với người quản trị, thoạt đầu sẽ khó nhận biết những chính sách nào sẽ được áp dụng đối với từng người sử dụng và máy tính trừ khi họ xem xét một cách cẩn thận trong thiết lập của security filtering.

 

Kết luận

 

Đây thực ra là một sự đánh đổi giữa hai biện pháp: giữ cho cấu trúc OU được phẳng nhưng lại khó quản lý chính sách nhóm hay tăng cấp cấu trúc OU nhưng việc quản lý tài khoản lại khó hơn. Lựa chọn cuối cùng sẽ thuộc về bạn khi triển khai Group Policy trong phạm vi doanh nghiệp. Hy vọng qua bài viết này, các bạn sẽ biết cách áp dụng các chính sách có hiệu quả hơn cho mạng của công ty mình.

 

Nguyễn Thanh Vân

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


%d bloggers like this: