I. Giới thiệu chung về Group Policy
  • Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.
  • Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8.
  • Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD).
  • Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác.
  • Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.
  • Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó.
  • Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit). Gọi tắt là SDOU.
  • Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả. Các máy Windows XP Home thì không có Local Group Policy.
  • Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (Group Policy Object - GPO)‏
  • Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.
  • GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục: %Windir%\System32\GroupPolicy.
  • Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC. Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy.
II. Group Policy trong Windows XP
  • Group Policy là một trong các thành phần của Microsoft Management Console và phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này.
  • Khởi động chương trình: Start -> Run(Windows + R) -> nhập gpedit.msc -> OK.



Cửa sổ Group Policy Object
Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp.
  • Not configured: không định cấu hình cho tính năng.
  • Enable: kích hoạt tính năng.
  • Disable: vô hiệu hóa tính năng.
Gồm 2 mục chính:
  • Computer Configuration
  • User Configuration.
  • Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy.
+ Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống …
+ Administrative Templates:
- System: cấu hình về hệ thống
- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting...
[LIST][*]User Configuration: cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục Computer Configuration

Lưu ý: trước khi cấu hình cho bất kỳ thành phần nào, phải tìm hiểu thật kỹ về nó.[/COLOR]


Windows Setting:
Tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
  • Scripts (Startup/Shutdown): chỉ định cho windows sẽ chạy một đoạn mã nào đó(như .vbs) khi Windows Startup hoặc Shutdown.
  • Security settings: các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.
Windows Setting/Security Settings


  • Account Policies: các chính sách áp dụng cho tài khoản của người dùng.
  • Local Policies: kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.
  • Public Key Policies: các chính sách khóa dùng chung.
Windows Setting/Security Settings/Account Policies
Password Policies
các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.


  • Enforce password history: bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định.
  • Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu thay đổi mật khẩu.
  • Minimum password age: xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu.
  • Minimum password length: độ dài tối thiểu cuả mật khẩu tài khoản.
  • Password must meet complexity requirements: quyết định độ phức tạp của mật khẩu.
  • Store password using reversible encryption for all users in the domain: lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain.
Acount lockout Policy

  • Account lockout duration: xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện.
  • Account lockout threshold: xác định số lần cố gắng đăng nhập nhưng không thành công.
  • Reset account lockout counter after: thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định.
Windows Setting/Security Settings/Local Policies
User rights Assignment: ấn định quyền cho người sử dụng.
Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó thì nháy đúp chuột lên mục đó và nhấn nút Add user or group để trao quyền cho User hoặc Group đó.


  • Access this computer from the network: tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.
  • Act as part of the operating system: chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống.
  • Add workstations to domain: thêm một tài khoản hoặc nhóm vào miền.
  • Adjust memory quotas for a process: chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý.
  • Allow logon through Terminal Services: cấp phép cho những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
  • Back up files and directories: cấp phép cho những ai sẽ có quyền backup dữ liệu.
  • Change the system time: cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống.
  • Create global objects: cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung.
  • Shut down the system: cho phép ai có quyền Shutdown máy.
còn tiếp...

Biên soạn by Tav4 RCM