Thứ Bảy, 7 tháng 1, 2012

Local Policy - Local Security Policy


Local Policy - Local Security Policy

I. Local Policy :
- Policy là các chính sách trên hệ điều hành Windows 2000 trở về sau, được Administrator sử dụng để áp đặt các quy định trên máy tính hoặc trên user account sử dụng máy tính.
Ví dụ : cấm user truy cập Control Panel hoặc truy cập vào ổ đĩa C.
- Việc điều chỉnh policy trên máy tính nào chỉ ảnh hưởng trên máy tính đó.
=> Được gọi là Local Policy.

- Policy là một phần nhỏ của Registry. Và nó dễ tùy chỉnh hơn Registry nhiều, đặt biệt là chúng ta có thể mày mò, phá hoại mà không sợ hư windows như là Registry .

- Có 2 cách để mở công cụ Policy :
  1. Mở gián tiếp thông qua MMC (Microsoft Management Console) :
    • Video :

    • Hình ảnh :

    Vào Run > gõ "MMC" > Ấn "OK".


    Ở Menu chọn "File" > chọn "Add/Remove Snap-in".


    Một cửa sổ mới hiện ra. Cửa sổ "Console".


    Ở khung bên trái chọn "Group Policy Object Editor" > Ấn "Add".


    Một cửa sổ mới hiện ra. Ta ấn Finish.


    Ta kiểm tra ở khung bên phải có "Group Policy Object Editor" > Ấn "OK".


    Công cụ chỉnh sửa Policy đã xuất hiện trong cửa sổ Console.


    2. 2. Mở trực tiếp :

    Vào RUN > gõ ""gpedit.msc" > OK.


    Cửa sổ quản lý Policy đã xuất hiện. :D

- Trong môi trường Local thì 2 nhánh Computer ConfigurationUser Configuration cũng như nhau. Vì không chỉ định được user và group nên nếu chỉnh ở nhánh User Configuration thì cũng giống như là ta chỉnh chính sách áp dụng lên tất cả users và groups <=> như là chỉnh đối với nhánh Computer Configuration. :D
- Nhưng trong môi trường Domain thì :
  1. Computer Congifuration : Phạm vi ảnh hưởng lên toàn máy tính. Bất kì user nào logon vào máy tính đều bị áp dụng các chính sách đã chỉnh trong đây.
  2. User Configuration : Phạm vi ảnh hưởng lên user hoặc là group được chỉ định.
  3. Về độ ưu tiên : policy phạm vi ảnh hưởng càng nhỏ thì độ ưu tiên càng cao.
Ví dụ : Chỉnh policy computer được phép mở ổ C và chỉnh policy user không được phép mở ổ C => User không được phép mở ổ C.
- Tại sao phải sử dụng thông qua Microsoft Management Console (MMC). Bạn vào đây để tìm hiểu thêm nhé :D : Nguồn Microsoft

- Đặc điểm của Policy :
  1. Trang thái (State) : Một Policy có 3 trạng thái :
    • Not Configured : Trạng thái mặc định. Do hệ thống tự thiết lập.
    • Enabled : Bật. Đồng ý với chính sách Policy đưa ra.
    • Disabled : Tắt. Không đồng ý với chính sách Policy đưa ra.
  2. Thời gian áp đặt Policy : (Thời gian để Policy bắt đầu có hiệu lực)
    • Ngay tức thì sau khi chỉnh.
    • Sau khi gõ lệnh áp đặt : RUN > gõ "cmd" > gõ "gpupdate /force" > ấn "Enter".
    • Sau khi logoff/logon hoặc sau khi restart máy.

- Các policy khi điều chỉnh được hệ thống lưu tại thư mục Group Policy và Group Policy Users trong C:\windows\system32. Để trả về trạng thái mặc định tất cả các Policy, thì xoá 2 thư mục trên và restart máy.
- Các cách để xóa Group Policy và Group Policy Users trong C:\windows\system32 :
  • Cách 1 : Xóa trực tiếp bằng cách truy xuất vào  C:\windows\system32.
  • Cách 2 : Ở một máy tính khác trong hệ thống, truy xuất ngược vào máy cần xóa. Và thực hiện xóa thông qua user Administrator.
  • Cách 3 : Khởi động máy trong môi trường "DOS" và xóa thư mục bằng lệnh :
    rd đường dẫn thư mục cần xóa \s \q
    VD : rd C:\Windows\System32\GroupPolicyUsers \s \q
     hoặc rd C:\Windows\System32\GroupPolicy \s \q

Ví dụ và hướng dẫn cơ bản để bạn hiểu rõ hơn :
 Vì chúng ta đang làm trong hệ thống local nên 2 nhánh Computer ConfigurationUser Configuration có phạm vi ảnh hưởng như nhau, nhưng có những policy chỉ có trong 1 nhánh mà nhánh kia không có.
- Cấm mở Task Manager :



- Các cơ bản cần biết :

1: Thông tin về policy đang chọn.
2: Nhóm Policy.
3: Policy. Tên hiển thị là chính sách của policy đó.


1: Tên cũng như là chính sách của Policy.
2: Lựa chọn Bật, Tắt (Đồng ý/Không đồng ý) với chính sách Policy đưa ra.
3: Trợ giúp về Policy đang chọn hoặc có khi cũng là hướng dẫn sử dụng.(Khá quan trọng đấy :) )
4: Tùy chọn mở rộng nếu có sau khi lựa chọn số 2.

Lưu ý : Sau khi chỉnh một Policy bất kỳ thì bạn nên gõ lệnh áp đặt : RUN > gõ "cmd" > gõ "gpupdate /force" > ấn "Enter"  nha.

Các bạn mày mò và tim hiểu thêm các Policy nha. Mình cũng chưa tìm hiểu được hết vì tiếng Anh có hạn :( .

II. Local Security Policy :
Người đăng: vào lúc Không có nhận xét nào:

Thứ Ba, 3 tháng 1, 2012

Local User Account - Local Group

Local User Account - Local Group

I. Local User Account :
- User account là một đối tượng trên hệ điều hành windows đại diện cho một người, nhân viên trong tổ chức.
-  User account tạo trên máy tính nào thỉ chỉ được phép đăng nhập (logon) và sử dụng tài nguyên trên máy tính đó.
=> Được gọi Local user account.

- Có 2 lý do để tạo user là :
-- Không muốn tất cả người dùng sử dụng user có sẵn là Administrator, vì tài khoảng này chỉ dành cho người quản trị.
-- Mỗi người dùng phải có một môi trường làm việc riêng tư, vì thế mỗi người dùng phải tạo ra user account riêng biệt.

- Mỗi user account sẽ có một profile để tạo nên sự riêng tư. Profile bao gồm :
-- Desktop.
-- My Documents.
-- Application Data.
-- Start Menu.

- Khi user account logon lần đầu trên máy tính thì profile sẽ được tạo ra. Đường dẫn lưu trữ profile là:
-- Trên XP : C:\Documents And Settings\"tên user".
-- Trên Vista, 7 : C:\Users\"tên user".

II. Local Group :
- Group cũng là một đối tượng trên hệ điều hành windows đại diện cho một phòng ban, nhóm người dùng trong tổ chức.
- Group chứa những local user account trên máy tính.
=> Được gọi là Local Group.

- Có 2 ưu điểm để triển khai group là :
-- Thuận tiện trong công việc quản lý.
-- Thuận tiện trong công việc phần quyền.

Thông tin thêm :
- Ta có thể tạo và quản lý Local User Account - Local Group :
*Windows Vista, 7 : (Windows Xp cũng tương tự nhé :) )
Hình 1

Hình 2

-- Chuột phải vào My Computer > chọn "Manage" (hình 1) > Phần "Local Users and Groups" (hình 2).

-- Hoặc vào Run > gõ "lusrmgr.msc" (không có ngoặc kép nhé :D). > OK.

- Khi user account Administrator (các user account trong Group (nhóm) Administrators) bị disable (user account bị cấm giống như bị ban í :)) ) thì ta khắc phục như sau :
-- Dùng user account Administrator khác để enable (bỏ check Disable).
-- Vào chế độ Safe mode logon với user account Administrator bị disable bình thường và tự enable.

- Ở windows 7, khi lần đầu cài windows xong thì hệ thống sẽ yêu cầu ta tạo một user account và tự động được đưa vào trong Group (nhóm) Administrators để toàn quyền sử dụng máy tính. Và khi khởi tạo user account thành công thì user "Administrator" (Built-in) bị hệ thống disable.
- Những user có description là Built-in thì đó là user được tạo mặc định của hệ thống và không thể xóa được.

- Thiết lập để khi khởi động windows sẽ tự động logon với user account được chỉ định bằng cách :

-- Vào RUN > gõ "control userpasswords2" > OK.


-- Tab "Users" > Bỏ check ô "Users must enter a user name and password to use this computer." > Ấn "Apply".


-- Nhập user name và password của user account cần tự động logon.
-- OK và OK. Restart máy và xem kết quả :D.
haominhvn123

Người đăng: vào lúc Không có nhận xét nào:
Đăng ký: Bài đăng (Atom)