Seminar #1: What's New in Exchange Server 2007?
Date: October 10, 2008
Time: 9:30 a.m. - 11:30 a.m.
Location: ExecuTrain of Idaho, Boise facility, 10051 W. Emerald Street, Boise, Idaho
Brief description: Discuss and explore the new SQL Server 2007 tools. Learn more about the expanded services and take a sneak peak at the features in action.
More information and Registration: email jennifer@etidaho.com

Seminar #2: Microsoft Momentum Event: A Solution Briefing and Lunch for IT and Business Executives
Date: November 6, 2008
Time: 8:00 a.m. - 1:30 p.m.
Location: The Grove Hotel, 245 S. Capitol Blvd., Boise, Idaho
Brief description: Discuss how to simplify infrastructure management, improve security and enhance productivity throughout your organization.  Our experts will also discuss Microsoft’s vision around software + services and how it could affect your industry, as well as, how to optimize your infrastructure.
More Information and Registration

Seminar #3: TechNet Events: Windows Vista with SP1, Windows PowerShell, and Group Policy
Date: November 6, 2008
Time: 8:00 a.m. - 12:00 p.m.
Location: The Grove Hotel, 245 S. Capitol Blvd., Boise, Idaho
Brief description: Why Windows Vista with SP1? Managing Windows Vista with Windows PowerShell. And, Group Policy Preferences, Templates and Scripting.
More Information and Registration

Seminar #4: MSDN Event - Silverlight 2.0, SQL Server 2008 and VSTO
Date: November 6, 2008
Time: 1:00 p.m. - 5:00 p.m.
Location: The Grove Hotel, 245 S. Capitol Blvd., Boise, Idaho
Brief description: What’s New in SQL Server 2008 for Developers, power up your Office applications with VSTO, and build next generation applications with Silverlight 2.0.
More Information and Registration

Advanced Group Policy Management (AGPM) helps you better manage Group Policy objects (GPOs) in your environment by providing change control, offline editing, and role-based delegation. AGPM is a key component of the Microsoft Desktop Optimization Pack (MDOP). 

It helps customers overcome challenges that affect Group Policy management in any organization, particularly those with complex information technology (IT) environments. A robust delegation model, role-based administration, and change-request approval provide granular administrative control. For example, you can delegate Reviewer, Editor, and Approver roles to other administrators — even administrators who do not have access to production GPOs. The Editor role can edit GPOs but not deploy them; the Approver role can deploy GPO changes. AGPM also helps reduce the risk of widespread failures.

You can use AGPM to edit GPOs offline, outside of the production environment, and then audit changes and easily find differences between GPO versions. In addition, AGPM supports effective change control by providing version tracking, history capture, and quick rollback of deployed GPO changes. It also supports a management workflow by allowing you to create GPO template libraries and send GPO change e-mail notifications.

AGPM has a server component and a client component, each of which you install separately. First, you install the Group Policy Management Console (GPMC) and the server component on a server system that has access to the policies you want to manage. Then, you install GPMC and the AGPM client on any computer from which administrators will review, edit, and deploy policies. You can run the client on Windows Vista or Windows Server 2003.

The AGPM client integrates completely with GPMC. Administrators review, edit, and deploy GPOs within each domain’s Change Control folder. The GPOs you see in the Group Policy objects list on the Controlled tab are stored in the AGPM server’s archive. Changes made to these GPOs don’t affect the production environment until administrators with the Approver role deploy the GPOs to production.

AGPM provides advanced change control features that help you manage and control GPOs. Many of the AGPM change control concepts are already familiar to administrators with experience using common version-control tools, such as the version control feature in Microsoft Windows SharePoint Services. The steps necessary to change and deploy a GPO are as follows:

1. Check out the GPO from the archive.
2. Edit the GPO as necessary.
3. Check in the GPO to the archive.
4. Deploy the GPO to production.

Change control is more than checking files in and out of the archive, though. AGPM keeps a history of changes for each GPO. You can deploy any version of a GPO to production, so you can quickly roll back a GPO to an earlier version if you need to. AGPM can compare different versions of a GPO, and show settings that were added, changed, or deleted. This way, you can easily review changes before approving and deploying them to the production environment.

Group Policy already provides a rich delegation model. It allows you to delegate administration to regional and task-oriented administrators. It also, however, lets administrators approve their own changes. In contrast, AGPM provides a role-based delegation model that adds a review and approval step to the workflow.

To support this delegation model, AGPM defines three special roles:

• Reviewer. Administrators assigned to the Reviewer role can view and compare GPOs. They cannot edit or deploy them.
• Editor. Administrators assigned to the Editor role can view and compare GPOs. They can check out GPOs from the archive, edit them, and check them in to the archive. They can also request deployment of a GPO.
• Approver. Administrators assigned to the Approver role can approve the creation and deployment of GPOs. (When administrators assigned to the Approver role create or deploy a GPO, approval is automatic.)

You can assign administrators and groups to these roles for all controlled GPOs within the domain. For example, you can assign administrators globally to the Reviewer role, which allows them to review any controlled GPO in the domain. You can also assign administrators to these roles for individual controlled GPOs. Rather than allow administrators to edit any controlled GPO in the domain, for example, you can give them specific permission to edit individual controlled GPOs by assigning to them the Editor role for those GPOs only.

See the Advanced Group Policy Management Training Guide at http://technet.microsoft.com/en-us/bb608283.aspx for additional details on what's forthcoming.

Microsoft released an installer to resolve these problems allowing 2003 users to open 2007 formatted Office documents. I'm going to explain how to deploy this patch for you AD domain.

Firstly, download the FileFormatConvers.exe file from http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&displaylang=en

Create a directory C:\DEPLOY and place the .exe in there. Open a command shell and type the following:

C:\DEPLOY\FileFormatConverters.exe /extract:C:\DEPLOY\

This will extract the files to the directory and you will end up with two main files - 012Conv.CAB & O12Conv.MSI

You now need to place these two files onto a file server share where all your users have read permissions.

Now open up your Group Policy console and create a new policy - I reuse a policy called Software Deploy. Expand out the Computers Configuration and select the Software Settings > Software Installation.
Right-click in the right hand pane and select New > Package.

Browse to the package on the file share you are going to use and select the O12Conv.MSI file and choose OPEN. When prompted choose Assigned (you can also choose Publish but this option will not automatically install the software for your users - it will just make the package available for them to install). Once you have pressed OK you will find the package in your GPO.

Link this GPO to your OU where you keep you computers and do some testing. Read my previous posts on troubleshooting Group Policy if you have any dramas.

Easy as that. Deploying this package via Group Policy is the easiest way to ensure you won't receive any more support calls complaining that your users can't open 2007 formatted Office files!

Managing Vista Group Policy in a Windows 2003 domain is a wee bit different than managing GP for XP or Server 2003. Basically because Vista policy templates are in a new format (admx) they can't be edited by the GP Management Editor that runs on XP or 2003. So to get round this you need to manage the GP on a Vista client with Remote Server Administration Tools for Vista SP1 installed.

RSAT for Vista SP1 can be downloaded here and note once you install it you still need to go into Control Panel à Programs and Features and then turn on the feature. After rebooting you should find lots of new tools under Administration Tools in Vista including the GPMC.

It is also best practice to create a central store for you admx files on the sysvol of your DCs, GP tools will then connect to this and read the template files when editing or reviewing policies and this provides an easy means to keep the admx files up to date. Take a look at this technet article for how to setup the central store.

Have fun!

N3ilb

What started the whole thing off was when I pushed out the DumpsterAlwaysOn setting to allow our users to recover even their hard deleted emails.

This is done by creating an .ADM, opening up group policy editor, adding an admin template, IN ORDER TO SEE IT YOU MUST GO TO VIEW, FILTERING, and uncheck the Only show policy settings that can be fully managed!

Here is the .ADM

CLASS MACHINE
CATEGORY "[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Client\Options]"
KEYNAME "SOFTWARE\Microsoft\Exchange\Client\Options"
POLICY "DumpsterAlwaysOn"
PART "DumpsterAlwaysOn" NUMERIC
VALUENAME "DumpsterAlwaysOn"
DEFAULT 1
END PART
END POLICY
END CATEGORY
CLASS USER

Then they can recover it by going to Recover Deleted Items (of course based on their exchange policy)

http://www.msexchange.org/tutorials/MF022.html

The next useful thing I covered was deleting invalid e-mail addresses from the Autocomplete List.

http://email.about.com/od/outlooktips/qt/et_del_autocomp.htm

I showed them how you should not trust an email as a 'real' document because of how easy it is to edit them....

http://email.about.com/od/outlooktips/qt/et_edit_receive.htm

The next was adding the back button to Outlook

http://blogs.msdn.com/justsean/archive/2008/08/09/stupid-outlook-tricks-the-back-button.aspx

And then I explored using Xobni a very useful outlook addon.

A play on iJustine for the fun of it...

Happy September to everyone!  I don't consider September to be the end of summer.  We have a few more weeks of nice weather ahead...

I have a small list of local group policy settings that I use on Windows Vista every time I set that OS up for myself or someone else.  These settings are a small precursor to what I use in the enterprise for locking down my Vista boxes.  Windows Vista Ultimate and Business Editions are what I use, when I use Windows Vista.

Go to the logo menu, formerly known as 'Start' and type 'gpedit.msc' in the search dialog.  A UAC prompt will most likely appear, if UAC has not been disabled. None of these settings, if improperly configured, will seriously screw-up your copy of Vista.  That said, it can never hurt to make a fresh backup beforehand.

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\User Account Control: Behavior of the elevation prompt for Administrators in Admin Approval mode = Elevate without prompting

The above setting allows me to work with the UAC enabled, but not suffer the limited desktop and the ever-present prompts.

User Configuration\Administrative Templates\Control Panel\Force classic Control Panel view = Enabled

I did this for Windows XP too.  Category view for the Control Panel is just one more step to perform in getting to what I need.  I force Vista to always show me the standard or 'Classic' Control Panel with this setting.

User Configuration\Administrative Templates\Desktop\Remove the Desktop Cleanup Wizard = Enabled

A prompt and a wizard that tells me about old and unused icons are things I just don't need.  I turn it off with the setting above.

User Configuration\Administrative Templates\Start Menu and Taskbar\Turn off all balloon notifications = Enabled

Pop-up balloons are one of things I hate the most about Windows.  With the above setting, I kill those suckas right away and for good.

User Configuration\Administrative Templates\Windows Components\Internet Explorer\Do not allow users to enable/disable add-ins = Enabled

As much as I don't want users running IE, I certainly don't want any add-ins or wacky active-x controls.  The setting above places a nice kibosh on that operation.

User Configuration\Administrative Templates\Windows Components\Internet Explorer\Turn on Menu Bar by default = Enabled

Where is the Menu Bar is one of the first things new IE7 users ask me about IE7.  Why beg the question, just turn it on with the above setting...

User Configuration\Administrative Templates\Windows Components\Windows Explorer\Display the Menu Bar in Windows Explorer = Enabled

Same thing for Windows Explorer as with Internet Explorer.  I am not sure why the developers chose to hide this option as it is a bit important... IMHO...

User Configuration\Administrative Templates\Windows Components\Windows Sidebar\Turn off the Windows Sidebar = Enabled

I find the Vista sidebar to be helpful only if there are some helpful gadgets installed.  Unfortunately, there are none installed by default.  Besides, the sidebar takes up a decent amount of screen real estate and is best with large monitors.  I don't have any large monitors...

Those settings are a good start toward making Vista a bit more user-friendly and easy to deal with on a day to day basis.

Enjoy!

Links:
Microsoft Group Policy Preferences FAQ

Articles by Derek Melber @ WindowsSecurity.com

Related TechScrawl Post

This post will cover Group Policy changes in the Server 2008 Active Directory implementation. Group Policy has been around since the Windows 2000 days as a solution for centrally managing OS and application configuration.

There are a number of major changes to GP, the most important of which may be the fact that there are a bunch of new settings for Server 2008 & Vista that improve on security, removable device access, and management of Internet Explorer, power settings, wireless networking, and printers, just to name a few. Microsoft maintains a list of settings here. Another big change is a new Group Policy Management Console (GPMC). The new GPMC has some under the hood updates as well as improvements to search functionality, but one of the most useful changes, in conjunction with GPO changes, is the ability to add comments to both GPOs and individual administrative template settings in a GPO. This is a huge addition and goes a long way towards integrating a change management documentation aspect into Group Policy.

On the subject of administrative templates, their format has changed from the old .ADM simple text based file to an XML based format, using the .ADMX extension. Language dependence has been removed so that the ADMX templates can be used between environments supporting different languages. Also, ADMX files can now be centrally stored in the \SYSVOL\Polices\DomainName\PolicyDefinitions folder on DCs rather than multiple copies for each GPO. This stands to improve replication performance and decrease SYSVOL space usage. It's worth a mention here that ADMX files can only be administered from a Vista or Server 2008 machine, older OS's are not ADMX-aware, though the settings in ADMX templates can still apply to them.

Another new concept related to Administrative Templates is that of Starter GPOs. Starter GPOs allow an administrator to configure multiple administrative template settings into a "Starter GPO", which can then be used as a baseline for deploying future GPOs based on those settings. Starter GPOs can also be exported/imported to completely different environments as a .CAB file, which will retain settings & comments.

On the performance side of things, the Group Policy client engine has been separated as its own service, called "Group Policy Client" (who would've guessed?). Previously it ran under the Winlogon process. This was done as a performance enhancing feature and was also designed to improve GP related event logging. It has supposedly gotten a little easier to troubleshoot problems related to GP processing, though I haven't had the fun of that experience yet. There were also improvements to Network Location Awareness (NLA), the feature that deals with slow link determination, which will improve startup times and intelligently deal with network connectivity changes.

Rounding out the major changes to Group Policy are two final features. First, it is now possible in Vista & Server 2008 to have multiple Local GPOs. This is most advantageous in non-domain environments such as workgroup or kiosk computers. This allows one LGPO to be applied for certain groups, and a different LGPO to be applied for others. This is useful because it allows IT staff to administer machines without being hindered by the regular restrictive LGPO. Finally, Group Policy Preferences have been enhanced to expand control over such settings as drive mappings, local groups, printers, tasks, data sources, file & folder options, and many other application & environmental settings that are traditionally scripted. See this blog for a good description on the differences between Policies and Preferences.

That's all for this time. Check back soon for Server 2008 related posts on Active Directory, Terminal Services, Server Core, Scheduled Tasks, Performance Improvements, and anything else that might be blog worthy.

For further information: Windows Server Group Policy Home

Các system policy có thể được áp dụng cho riêng từng người dùng hay cho cả một nhóm người dùng. (Trong các tài liệu được viết từ thời 9x/Me và NT 4 về system policy , các system policy dành cho nhóm cũng được gọi là group policy, nhưng nó không mang ý nghĩa giống như group policy trong Win2K/XP/2003). Các chỉ thị system policy, nếu có, phải được qui định trong một file có phần mở rộng là .POL (mặc định là CONFIG.POL đối với 9x/Me, và là NTCONFIG.POL đối với NT 4). File .POL cần thiết được người quản trị mạng sử dụng trình System Policy Editor (POLEDIT.EXE) để tạo ra (và chỉnh sửa sau này nếu cần). Nếu là system policy dành cho nhóm, thì người quản trị viên tạo file .POL trên một máy khách thích hợp nào đó (CONFIG.POL được tạo trên máy 9x/Me, NTCONFIG.POL được tạo trên máy NT 4), rồi đặt nó vào share NETLOGON của mọi máy DC (đối với mạng NT 4) hoặc vào thư mục PUBLIC trên các máy server (đối với mạng NetWare). Khi một người dùng trên các máy khách khác đăng nhập vào mạng, file .POL đó mặc định sẽ tự động được chép về máy khách ấy, và thế là các thiết định system policy trong đó sẽ phủ chế các thiết định có liên quan (về người dùng hay về máy) trong Registry của máy ấy. Người quản trị viên mạng cũng có thể thiết lập những system policy chứa những thiết định độc đáo khác nữa, đặc trưng cho mạng của mình.

Chú ý rằng, máy Windows 9x/Me (hoặc NT 4) nếu được cài đặt độc lập thì không có CONGIG.POL (hoặc NTCONFIG.POL). Chỉ khi máy đó được nối vào một mạng có đặt file đó ở chỗ thích hợp (là NETLOGON của máy PDC NT 4 hoặc PUBLIC của máy preferred server NetWare), thì nó mới chép file đó về máy mình, và file đó trở thành một phần bổ sung thêm cho Registry của máy tại chỗ. Nếu không nối mạng client/server, Registry của máy Win9x/Me chỉ bao gồm 2 file là SYSTEM.DAT và USER.DAT, còn Registry của máy NT 4 chỉ bao gồm 7 file: SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, USERDIFF, và NTUSER.DAT (không kể các file phụ thuộc, chẳng hạn như các file .DAO, .ALT, .SAV, …). Cho dù file CONFIG.POL hoặc NTCONFIG.POL bị xóa khỏi thư mục NETLOGON hoặc PUBLIC, thì các system policy vẫn còn tác dụng đối với máy trạm của người dùng, bởi vì CONFIG.POL hoặc NTCONFIG.POL đã được chép vào máy trạm của người dùng, và Registry của máy trạm đó đã bị thay đổi permanently theo đó rồi.

Trong những mạng Active Directory Win2k hoặc WinS2k3, nếu vẫn còn các máy khách Win9x/Me và/hoặc NT 4 thì quản trị viên vẫn phải dùng các system policy để kiểm soát, bởi vì các máy đó không hiểu các group policy trong Win2k hoặc WinS2k3. Chỉ có các máy khách Win2k/XP/WinS2k3 mới hiểu được các group policy mà thôi. (Các máy khách Win2k/XP/WinS2k3 cũng sẽ tìm, tải xuống, và thi hành các system policy, nhưng CHỈ KHI không có group policy nào hiện diện trong mạng đó cả). Các mạng NT 4 thì chẳng bao giờ chứa bất kỳ group policy nào.

GROUP POLICY

Group policy có thể được coi là một thứ system policy phiên bản 2. Các chính sách này được MS phát minh ra kể từ Win2k, và chỉ có ý nghĩa đối với các máy Win2k/XP/WinS2k3. Chúng khác biệt với các system policy như sau:

_ Các group policy chỉ có thể hiện hữu trên miền Active Directory, ta không thể đặt chúng lên miền NT 4.

_ Các group policy làm được nhiều chuyện hơn các system policy. Ví dụ: có thể dùng các group policy để triển khai (deploy) phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình chạy trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như My Computer, My Documents chẳng hạn) v.v…

_ Không giống như các system policy, các group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.

_ Các group policy được áp dụng thường xuyên hơn các system policy. Các system policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác nữa trong suốt ngày làm việc (một cách tự động).

_ Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được _ hoặc không được _ nhận một group policy nào đó.

_ Group policy tuy hay ho hơn system policy, nhưng chỉ áp dụng được với
các máy Win2k/XP/WinS2k3 mà thôi (và đòi hỏi các máy đó phải thuộc một miền AD nào đó, mặc dù không có AD thì vẫn có thể áp dụng một số hạn chế các “chính sách tại chỗ” _ local policy), không áp dụng được với các máy Windows tiền-2k.

Tuy trong tên của nó có từ “group”, nhưng các group policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit) (MS đã chế ra một acronym để chỉ chúng: SDOU). (Nói “chủ yếu” là vì, thực ra cũng có thể áp dụng chúng cho các nhóm người dùng, nhưng phải sử dụng kỹ thuật lọc chận chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng sau này, và làm chậm quá trình đăng nhập của người dùng mạng). Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy, nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau sẽ override các policy được áp dụng trước.

Các group policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (group policy object _ GPO), và các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL (SYSVOL trong Win2K/WinS2k3 là sự thay thế cho NETLOGON trong NT 4). Phần nằm trong share SYSVOL của mỗi GPO bao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainname\Policies\GUID , trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO đó. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm trong thư mục %Windir%\System32\GroupPolicy.

Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC (hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy).

Trên đây chỉ là một số nét sơ lược về system policy và group policy thôi, chứ thực ra trong khuôn khổ một bài
viết, chẳng ai có khả năng giải thích đầy đủ về mọi khía cạnh của chúng. Muốn bàn về mỗi loại policy đó, cần đến
một hoặc vài chương sách. Thậm chí, có người đã viết nguyên một cuốn sách để bàn về Group Policy trong
Win2k/WinXP/WinS2k3. Trong cuốn “Làm chủ Windows Server 2003″, chúng tôi cũng bàn về các khái niệm và cách ứng dụng system policy và group policy tập trung trong các chương 8, 9, 12, và rải rác trong một số chương khác.

Không có tác giả - st internet

Quản trị hệ thống với Group Policy trong Windows XP

Trong Windows XP có một công cụ khá hay, đó là Group Policy (GP). Nhiều người sử dụng Windows đã lâu nhưng chưa hề biết có công cụ này vì không tìm thấy nó trong Control Panel, Administrative Tools hay System Tools. GP là một trong các thành phần của Microsoft Management Console và bạn phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này. Nếu không, bạn sẽ nhận được thông báo lỗi sau:

Khởi động chương trình: Có 2 cách khởi động chương trình.

Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau đó vào trình đơn File, chọn Open. Trong cửa sổ Open, nhấn nút Browse rồi tìm đến thư mục System32. Bạn sẽ thấy nhiều tập tin xuất hiện có phần mở rộng là *.msc. Các tập tin dạng này là những thành phần được tạo bởi Microsoft Management Console. Nếu để ý, bạn sẽ thấy một số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai công cụ này nằm trong Adminstation Tools)… và còn nhiều nữa. Trong phạm vi của bài viết này, bạn cần chọn gpedit.msc để mở Group Policy.

Cách 2: Nếu bạn làm việc thường xuyên với GP thì cách này sẽ nhanh hơn. Vào menu Start > chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình. Khi chương trình đã khởi động, bạn sẽ thấy cửa sổ giao diện như hình bên dưới:

Chương trình được phân theo dạng cây và rất dễ dùng. Nếu sử dụng các phần mềm như Security Administrator, TuneUp Utilities,… bạn sẽ thấy hầu hết các tùy chọn cấu hình hệ thống đều nằm trong GP. Và bạn hoàn toàn có thể sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm trên.

* Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho tính năng đó, Enable để kick hoạt tính năng, Disable để vô hiệu hóa tính năng.

* Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. Trong nhánh này chứa nhiều nhánh con như:

+ Windows Settings: bạn sẽ cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống…
+ Administrative Templates:- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting…
- System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào, bạn cũng cần phải tìm hiểu thật kỹ về nó. Bạn có thể chọn thành phần rồi nhấp chuột phải để chọn Help.

Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này.

Mặc định thì tình trạng ban đầu của các thành phần này là “Not configured”. Để thay đổi tình trạng cho thành phần nào đó, bạn chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình).

* User Configuration: giúp bạn cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.

Phần I: Computer Configuration:

Windows Setting:

Tại đây bạn có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống…

+ Scripts (Startup/Shutdown):
Bạn có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown.

+ Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.

Name Tóm tắt tính năng

Account Policies Các chính sách áp dụng cho tài khoản của người dùng.
Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.
Public Key Policies Các chính sách khóa dùng chung

Sau đây chúng ta sẽ lần lượt đi vào tìm hiểu chi tiết từng phần nhỏ của nó.

1. Account Policies: Thiết lập các chính sách cho tài khoản
a> Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.
Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42.
Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Bạn cần thiết lập “Minimum password age” lớn hơn không nếu bạn muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu bạn không sử dụng mật khẩu. Giá trị mặc định là 0.

Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau:

- Không chứa tất cả hoặc một phần tên tài khoản người dùng
- Độ dài nhỏ nhất là 6 ký tự
- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt.

Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable.

Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năngcung cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable.

b> Acount lockout Policy:

* Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.
* Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.
* Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.

2. Local Policies: Các chính sách cục bộ:

User rights Assignment: Ấn định quyền cho người sử dụng.
Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…

Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.

* Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.

* Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

* Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain.

* Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices).

* Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.

* Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu.

* Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống.

* Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung

* Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa.

* Shut down the system: Cho phép ai có quyền Shutdown máy.

Và còn rất nhiều chính sách khác nữa đang chờ bạn khám phá.

Nguyễn Quang Duy – IITM

1. Thao tác về Internet Explorer (IE).

Tìm nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User Interface
- Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô “Customize Tittle Bars”, gõ vào một cái tên như AAA. Mở IE ở chế độ about:blank sẽ thấy dòng chữ “Microsoft Internet Explorer provided by AAA”!
- Custom logo: bạn có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22×22 hay 38×38). Hộp “Customize the static logo bitmaps” dành cho hình tĩnh còn hộp “Customize the animated bitmaps” dành cho hình động.

Tìm nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer
- Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại Internet Options như General, Security… Nếu không giấu thẻ General, bạn có thể quay lại folder Internet Explorer để enable phần “Disable changing home page settings” nhằm vô hiệu hóa việc thay đổi trang chủ IE.
- Toolbars: enable phần “Configure Toolbar Buttons” sẽ cho tùy chọn hiển thị các nút trên thanh công cụ của IE.

Tìm nhánh Computer Configuration/Administrative Templates/Windows Components/Internet Explorer
- “Security Zone: Use only machine settings”: bắt buộc tất cả các user đều phải chung một mức độ security như nhau.
- “Security Zone: Do not allow users to add/delete sites”: trong Security Zone có danh sách các site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách đó (cách tốt nhất là giấu luôn thẻ Security).
- “Disable Periodic Check for Internet Explorer software updates”: ngăn không cho IE tự động tìm phiên bản mới của nó.

2. Thao tác về Windows Explorer.

Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Explorer:
- Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong My Recent Documents.
- Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle Bin.
- Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn vị phần trăm dung lượng của ổ đĩa cứng.
- Hide the dropdown list of recent files trong folder Common Open File Dialog: không cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel…)

3. Thao tác về Logon.

Tìm nhánh Computer Configuration/Administrative Templates/Logon
- Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống Windows 2000.
- Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu.

4. Thao tác về System Restore.

Tìm nhánh Computer Configuration/Administrative Templates/System Restore
- Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất hiện thông báo “System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator”.
- Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore.

5. Thao tác về Windows Media Player.

Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Media Player
- Phần “Set and Lock Skin” trong folder User Interface: thiết lập một skin duy nhất cho Windows Media Player.
- Phần “Prevent Codec Download” trong folder Playback: ngăn Windows Media Player tự động tải các codec.

Hoàng Kim Hoàn

Điều khiển đặc quyền tài khoản Administrator

Theo Security-olala.vn

Tài khoản Administrator có thể làm gì và được phép truy cập những gì?

Có hàng trăm, thậm chí hàng nghìn tài khoản Administrator trên mạng ngày nay. Bạn có thể điều khiển các tài khoản để biết chúng có khả năng làm những gì và được phép truy cập những gì?

Vì sao lại là điều khiển tài khoản Administrator?

Nếu là người quản trị các mạng Windows, có thể bạn đặc biệt quan tâm tới thành phần Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật liên quan như domain controller (bộ điều khiển miền), server (máy chủ), service (dịch vụ), application (ứng dụng) và Internet connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian bạn sẽ hiểu được cách kiểm soát các Administrator trong doanh nghiệp của mình một cách phù hợp và chính xác nhất.

Lý do các tài khoản này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản Administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp.

Bạn có bao nhiêu tài khoản Administrator?

Để tìm ra câu trả lời cho câu hỏi này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với các máy tính để bàn sử dụng Windows với một tài khoản Administrator cục bộ. Đó là Windows NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng bởi “admin”, các nhà phát triển, nhân viên và cả trong phạm vi máy chủ hoạt động như một thiết bị ứng dụng hay dịch vụ. Cả một quán Internet công cộng hay các máy tính dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc trung tâm hóa, cũng được xét đến trong phạm vi này. Đừng đếm tài khoản người dùng ở đây, vì số thiết bị có thể không khớp với số người dùng.

Bây giờ cần xem xét đến số server bạn có (lúc này chưa tính đến các domain controller). Với server, bạn cần quan tâm đến nhiệm vụ cụ thể của nó: lưu trữ dữ liệu, in ấn, ứng dụng, sở hữu dịch vụ, hoạt động như một văn phòng hay mail, fax,… Mỗi thiết bị này đều có một SAM và một tài khoản Administrator cục bộ. Tài khoản này không được dùng thường xuyên, nhưng như thế có khi lại càng cần được điều khiển đặc quyền.

Cuối cùng, bạn cần xem đến các domain controller. Trên bộ phận điều khiển miền này (cũng là một kiểu máy chủ) có một tài khoản Administrator quan trọng, là tài khoản điều khiển Active Directory. Ngoài ra còn là domain gốc và đóng vai trò quản trị chính cho doanh nghiệp. Nếu bạn có nhiều hơn một domain, mỗi domain sẽ có một tài khoản Administrator quan trọng này. Tài khoản Administrator tiếp theo chỉ điều khiển điện nguồn ở domain nhưng cũng có tác động rất manh.

Giới hạn đặc quyền đăng nhập

Bạn không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chứa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp.

Giới hạn khả năng truy cập Administrator cục bộ

Cho dù bạn có cho phép người dùng tiêu chuẩn quyền “admin access” (truy cập với vai trò admin) vào máy tính của họ hay không, bạn vẫn cần giới hạn quyền truy cập tài khoản Administrator cục bộ. Có hai cách dễ dàng là thay đổi tên tài khoản Administrator local hoặc thay đổi mật khẩu thường xuyên. Có một nhóm các đối tượng Group Policy Object (GPO) cho từng kiểu thiết lập này. Đầu tiên là vào Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options như trong Hình 1. Phần chính sách bạn muốn cầu hình là Accounts: Rename Administrator Account (thay đổi lại tên tài khoản Administrator).

Hình 1: Cấu hình lại để thay đổi tên cho tài khoản Administrator

Chính sách thứ hai bạn cần để cấu hình là các thiết lập policy mới sẽ ra mắt vào cuối năm 2007. Chính sách này là một phần trong bộ PolicyMaker, được đặt trong Computer Configuration| Windows Settings| Control Panel| Local Users and Groups như minh họa ở Hình 2.

Hình 2: Cấu hình để thiết lập lại mật khẩu cho tài khoản Administrator cục bộ

Chú ý: Điều này không ngăn cản được người dùng tiêu chuẩn điều khiển định kỳ tài khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control trên máy tính.

Giảm quyền truy cập mạng

Như đã nói ở trên, tài khoản Administrator không nên sử dụng hàng ngày. Do đó, không có lý do gì để cấu hình cho phép tài khoản này truy cập trên toàn bộ mạng. Một cách hay để giới hạn là không cho phép tài khoản Administrator truy cập server và domain controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm trong Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên “ Deny Access to this computer from Network” (Từ chối truy cập mạng trên máy tính này).

Hình 3: Cấu hình từ chối quyền truy cập mạng bằng tài khoản Administrator trên máy tính.

Các cấu hình khác

Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập tài khoản Administrator trên mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau:

• Không dùng tài khoản Administrator như là một tài khoản dịch vụ.

• Từ chối truy cập Terminal Services trên server hoặc domain controller.

• Từ chối khả năng đăng nhập như một dịch vụ trên server và domain controller cho tài khoản Administrator.

• Từ chối đăng nhập như một job batch (công việc theo lô) cho tài khoản Administrator.

Các thiết lập này sẽ giới hạn phạm vi tác động của tài khoản Administrator trên máy tính hay trên mạng. Chúng không ngăn cản người dùng có đặc quyền admin cấu hình quyền truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình của Administrator, cũng như khi tài khoản này được dùng để đăng nhập và sử dụng User Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy chúng trong Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy như Hình 4.

Hình 4: Thiết lập chính sách kiểm định việc dùng và quản lý tài khoản.

Tóm tắt

Administrator là tài khoản mạnh nhất, có tác động lớn nhất trong thế giới của hệ điều hành Windows. Nhưng cũng do tác động lớn của nó mà bạn nên giới hạn chỉ dùng khi thực sự cần đến nó. Như trong việc phục hồi nếu gặp sự cố hay cấu hình ban đầu. Để thực hiện hoạt động giới hạn này, bạn cần đến các thiết lập bổ sung kiểm soát quyền sử dụng và truy cập Administrator. Group Policy là cơ chế có tác dụng phân phối các thiết lập hạn chế đặc quyền tới tất cả các máy tính cần giới hạn Administrator. Chỉ cần các thiết lập được tạo một cách phù hợp, tài khoản Administrator sẽ được kiểm soát, không chỉ trong hoạt động mà ngay cả khi muốn theo dõi nếu có kẻ xâm phạm nào đó muốn tấn công mạng của bạn mà không cần tài khoản nào.

Quản lý Windows Firewall với Group Policy

Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web.

Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép bạn có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy Object).

Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp thoại này, bạn có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và Standard Profile.

• Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD

• Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng.

Những thiết lập này cho phép bạn cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, bạn có thể chọn một thiết lập và xem mô tả về nó.

Sau đây là một vài tính năng của Windows Firewall hữu ích mà bạn nên kích hoạt:

• Windows Firewall: Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh

• Windows Firewall: Do not allow exceptions: Tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel.

• Windows Firewall: Define program exceptions Properties: Thiết lập cho phép bạn tùy chọn chỉ định các chương trình, giúp bạn cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa.

• Windows Firewall: Prohibit notifications: Thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu Windows Firewall bổ sung nó vào danh sách các chương trình cho phép.

• Windows Firewall: Allow logging: Tùy chọn cho phép bạn cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường lửa, kích cỡ bản ghi, tên và vị trí.

Nếu muốn tìm hiểu thêm chi tiết về Windows Firewall có trong Windows XP Service Pack 2 hay Windows 2003 SP1, bạn có thể xem tại đây:
http://www.microsoft.com/technet/pro…7af1445d0.mspx

logoffAuditScript.BAT

echo ---- Logoff ---- %username%, %computername%, %date%, %time% >>\\SERVERNAME\audit$\logoffAudit.txt

logonAuditScript.BAT

echo ---- Logon ---- %username%, %computername%, %date%, %time% >>\\SERVERNAME\audit$\logonAudit.txt

You need to add the logonAuditScript.BAT to the login scripts settings in Group Policy and obviously the logoffAuditScript.BAT to the logout scripts setting.

Basically all these batch files do is write a single line with the username, computer name, date and time to the .txt files specified in the script.
You can then open the text files with Excel and find out when your staff are logging in and out.

There are a lot more extensive audit login scripts available out there - however I found this a quick and easy option that satisfies my simple audit needs. The major draw back of this audit method is that it only runs when users login and logout... if users stay logged in for long periods of time nothing is logged. You can use Logon Hours within AD to force users to logout if necessary.

1. Login ke Domain Controller
2. Buka Group Policy Management
3. Navigasi ke Group Policy Objects, klik kanan pilih New
4. Masukkan nama dari group policy, misalkan Restrict Local Administrator Member
5. Klik kanan group policy yang baru dibuat tadi, pilih Edit
6. Navigasi ke Computer Configuration -> Windows Settings -> Restricted Groups
7. Klik kanan pilih Add Group
8. klik Browse, pilih group Administrators
9. Pastikan hanya Domain Admins sebagai member dari group Administrators ini
10. Terapkan GPO ini di OU yang diinginkan
11. SELESAI

Selamat mencoba!

If you've installed the compatibility pack at home you know that it's a very quick process, but multiply that by roughly 700 computers and it's not quite as easy.

To make matters worse, Microsoft, in their infinite wisdom, does not make available an .msi package of the compatibility pack. This means installing through group policy is not possible... or does it?

I found this quick how-to today and lo and behold there is actually and .msi of the package, post install.

mkeadle.org » Deploying the Office 2007 Compatibility Pack

I followed these steps, added the package to my group policies and now every machine is nice and 2007 compatible.

The registry key is NoDriveTypeAutoRun, which can be found at HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

This key disables the Autoplay feature on all drives of the type specified.  Autoplay begins reading from a drive as soon as media is inserted in the drive. As a result, the setup file of programs and the sound on audio media starts immediately.

Unfortunately, this key did not produce the desired result of disabling the Double Click and Contextual Menu features.  Microsoft just released KB 953252, which describes how to obtain updates that correct these broken registry key settings in the following Windows Operating Systems:

Windows 2000
Windows XP Service Pack 2
Windows Server 2003 Service Pack 1 and 2
Windows Vista

Note: Windows Server 2008 is not affected.

The main purpose of Autorun is to provide a software response to hardware actions that you start on a computer. Autorun has the following features:

• Double Click
• Contextual Menu
• AutoPlay

These features are typically called from removable media or from network shares. During AutoPlay, the Autorun.inf file from the media is parsed. This file specifies which commands the system runs. Many companies use this functionality to start their installers.

Please see KB 952252 for security updates to each applicable operating system to disable autorun capabilities.  This KB also describes Group Policy settings to disable all Autorun features, plus instructions on selectively disabling specific Autorun features.

If you're still not sure why you'd want to disable Autorun, check out Scott's article on Autorun attacks.

1.Created a Folder named as DeployTest on local system drive and share that folder, give administrator full access and everyone read only access.

2.Copied all the contents of the Office 2003 setup to the folder Office2003 to make it as the source of the installation.

3.Using Custom Installation Wizard in Office 2003 resource kit, I created the "Office2k3.mst" (this can be any file name) file and saved it in DeployTest folder(we can actually save this file in Office2003 folder which is the source folder.)

The easiest place to grab the current resource kit is MSDN Subscriber Downloads (if you have access),You can also download it from the MS Download site:

for 2003: http://www.microsoft.com/office/ork/2003/admin/default.htm
For XP: http://www.microsoft.com/office/ork/xp/admin/default.htm
For 2000: http://www.microsoft.com/office/ork/2000/admin/default.htm

Once you've installed the proper version(s) of the resource kit tools, in the start menu, you'll find a menu called the Custom Installation Wizard. Go ahead and run it, and when prompted, point it to the .MSI for your Office Version (data1.msi for Office 2000, proplus.msi for OfficeXP with Frontpage and PRO11.MSI for Office 2003). Follow the steps, filling in blanks as necessary. An .MST file (Windows Installer transform) will be generated. Save it in the same place as your administrative installation point (or somewhere else if you find that logical). This file is essentially a database of answers to the questions the installer asks.

4.Once this is all taken care of, you're ready to test the deployment. Create a new Group Policy object, and Assign/Publish a new Software Package(I had assigned it to the computer). Point the GPO to the .MSI for your Office version - Data1.msi for CD1 of Office 2000, or ProPlus.msi for XP Pro w/ Frontpage and PRO11.msi for the Office 2003. Before saving the install package, choose the Modifications tab, and browse for the MST file you created in the previous step. Once the software package is assigned/published, additional transforms cannot be applied without unassigning and reassigning the package. This will trigger clients to remove and reinstall the package completely.

5.Finally, go ahead and disable the User Config settings in the GPO, as they won't be used (we're just installing software per computer here).

6.Now go and boot one of the system which falls in the scope of above given GPO and see how it actually works. In my deployment it worked really nicely and without any errors.

7.If in case your deployment fails check the event logs as it shows more than enough information about solving the conflicts.

8.In case if your client consist of Windows XP Pro you will have make sure that the following setting is enabled,

Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon

Note that Windows XP clients support Fast Logon Optimization in any domain environment, to turn off that use above mention setting and enable the given option of Always wait for the network at computer startup and logon because When this policy is enabled, a Windows XP client behaves in the same manner as a Windows 2000 client at both system startup and at user logon. To read more you can also visit the Microsoft Knowledge Base Article - 305293

My favourite GP tool is by far the rsop.msc (Resultant Set of Policy) snap-in. Access the rsop.msc tool by either typing the command at a command prompt or typing the command in the Run box.

rsop will show you exactly what settings are being set by Group Policy and which Group Policy Objects are enabling those settings.

rsop builds an up-to-date view of the objects applied - so any changes you make to GPO's will need to be refreshed on the client/server before they will appear in rsop. This means you need to run the gpupdate /force command to refresh the GPO and ensure your rsop output is up-to-date.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\NoPreviousVersionsPage

The template, with usage details, can be viewed here. With a little tweaking, it can be used as a Computer policy rather than a User policy (technically this is a preference, not a policy). If you download it, remove the .doc extension. It can then be imported into a Group Policy Object, where the "Disable Previous Versions Tab" setting can be found under User Configuration -> Administrative Templates -> Windows Components -> Windows Explorer.  Once configured you can then link the GPO to the desired OU(s).

Link: Using Administrative Template Files

Deploying MSIs via Active Directory with Group Policy

I’m a big fan of deploying MSIs via Active Directory. This probably remains one of the most affordable ways to automatically deploy software today… not to mention it’s pretty cool to see it work. One of the significant feats I had at a past job back in 2003 was using this method in conjunction with the Remote Installation Service (RIS) to automatically deploy operating systems and 100+ apps to the entire company.  I still have some of the painful memories from repackaging the apps that weren’t MSI based (90% of them) and getting them to play nice (aka not blowing up) in a LUA environment. Streaming Server (now part of XenApp), Softricity, and all of those other application virtualization tools are truly a blessing. With that said, I’d hope most application developers know better than to write user data to HKLM and Program Files!

I wasn’t able to find a section in the Admin Guide that covers installing XenApp via Active Directory, so I’ll give an overview of it. To deploy XenApp via Active Directory, the first thing you need to do is create an administrative install. This will basically copy all of the files to a network location, so all of your servers can reach it. You can find the details about this on pg. 370 of the Admin Guide.

Next you’ll need to create a transform (MST file). The transform will capture all of the install options, similar to an answer file except it’s based on Microsoft’s own proprietary format. Back in the day I used InstallShield’s AdminStudio to do this… you just point AdminStudio to the MSI, it will let you walk through the GUI portion of the install and choose your options, then when you click Finish it captures all of your settings into a .MST file. Now days, I wouldn’t be surprised if there are some free tools that allow you to do this.  If you know of any, I’d be interested in checking them out so feel free to post them as a comment.

The last step is to create a Group Policy object (GPO). In this GPO, you will need to create a new Software Installation object and reference the network location of mps.msi and your transform. When you apply this GPO to an OU, by default it will install XenApp on all computers under the OU. The easiest way to restrict this is by applying a filter to the GPO that specifies a group with all of your XenApp servers.

Now the cool perk about deploying apps via Active Directory is that you just need to add the desired computer to the group and reboot it. Well… you may need to run gpupdate too, but I think you get the point.

For an install as complex and large as XenApp, this approach does have some downfalls:

• Compared to a script-based approach, it’s harder to detect and troubleshoot problems that occur at install time. For example, a machine may fail to install, but there’s no good indication of how or why there was a problem.
• Controlling and staging XenApp roll-outs can be difficult due to all of the new IMA and file sharing traffic occurring at the same time.

Drive and printer mappings are probably the most common function of the logon script. However, the introduction of Microsoft Distributed File System combined with Access Based Enumeration has meant that some organisations have reduced their user drive mappings to just two - a personal "Home" drive root share and a shared department root share. Printer Location Tracking allows users to find and map their own network printers, removing custom logic from the logon script and providing better support for travelling users and hot-desk workers.

The integration of Group Policy Preferences (GPP) into the Microsoft toolset further nails the coffin on logon scripts, providing a managed method of setting drive mappings, shortcuts and environment variables amongst others.

Even if you haven't managed to consolidate your drive mappings, GPP has an option called item-level targeting that allows a single GPO to cope with multiple variations. This feature extends the usual scope of management filtering beyond the entire GPO, to the individual settings within it - or at least the GPP settings within it. The targeting can be based on a whole range of criteria (see later), but for the purpose of drive mappings, security group membership filtering is probably the most useful.

A single GPO could contain all the drive to share mappings in the organisation and an item-level filter on each mapping would mean that only members of the associated security group would actually get each mapping. This is very similar to the method often used in logon scripts, but without the scripting overhead.

So can we get rid of logon scripts completely? Probably not.

In an enterprise Windows environment, there are lots of ad-hoc scripts and programs that need to be called and a logon script is a useful option. Applications may need folders created in the user's home drive, mailbox migrations may need a mail profile "switch" utility to run, laptops may need to client-side cache re-pointed to a new UNC path when a home drive is moved.

The monolithic logon scripts of the past do seem to be dead though. A lightweight script, often with no user interface is all that is needed in the modern environment.

GPP Item-level targeting options:

In Vista SP1, the RSOP reports generated locally on a client computer do not contain GPP information, which makes troubleshooting more difficult. For example, drive mappings applied as part of a User GPP will not be displayed by GPRESULT run in the context of the target user on a Vista client.

The solution is to use the Group Policy Results wizard in 'Group Policy Management' (GPMC 2.0), either locally or remotely from another Vista or Server 2008 computer. The Group Policy Results wizard does display both Group Policy and Group Policy Preferences applied to the user / computer.

Group Policy Management is a separate install on Vista SP1, part of the Remote Server Administration Tools

A standard (non administrative) user on Windows XP could use RSOP.MSC to display the Resultant Set of Policies for both user and computer configuration. On a Vista machine, admin elevation is required to view Computer RSOP.

Furthermore, running "RSOP.MSC" on a Vista SP1 machine generates a warning message that some information may not be displayed. It seems that GPRESULT.EXE is now the recommended method of displaying RSOP.

In practise this means running two separate commands to view the full RSOP information. Firstly, generating the user RSOP from a standard command prompt using GPRESULT and then separately generating the computer RSOP from an elevated command prompt, also using GPRESULT.

For example:

GPRESULT /H %TEMP%\UserRSOP.htm /scope user    (standard command prompt)
GPRESULT /H C:\ComputerRSOP.htm /scope computer    (elevated command prompt)