Công nghệ 
Windows 
iPhone 
Android 
Làng CN 
Khoa học 
Ứng dụng 
Học CNTT 
Game 
Download 
Tiện ích Có ba nhiệm vụ điển hình bạn cần thực hiện để bảo vệ nhóm Local Administrators. Windows Server 2008 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nên nhẹ nhàng!
Nếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiều người dùng có quyền quản trị viên nội bộ trên máy trạm của họ. Có nhiều giải pháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốn thực hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viên nội bộ, các nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặc máy tính của họ. Chính vì vậy để bảo vệ nhóm quản trị viên nội bộ trên các máy trạm bạn cần phải sử dụng đến một số công cụ mạnh. Có ba nhiệm vụ bạn cần thực hiện để bảo vệ nhóm người dùng này sẽ được giới thiệu đến trong bài. Windows Server 2008 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nên nhẹ nhàng!
Nhiệm vụ 1: Remove tài khoản người dùng trong miền
Nhiệm vụ ban dầu trong việc bảo vệ nhóm quản trị viên nội bộ là bảo đảm rằng người dùng sẽ không nằm trong hội viên của nhóm nữa. Điều này nói bao giờ cũng dễ hơn thực hiện vì hầu hết các công ty đều cấu hình tài khoản miền của người dùng là thành viên trong nhóm này khi cài đặt máy tính của người dùng.
Hãy xem xét đến kịch bản ở nơi mà bạn giải quyết vấn đề với những người dùng đang đăng nhập vào máy tính của họ với quyền quản trị viên nội bộ và lúc này bạn cần phải remove các tài khoản người dùng trong miền từ nhóm quản trị viên nội bộ trên mỗi máy trạm trong môi trường sản xuất của mình. Bạn có tới 10.000 máy trạm, laptop, và những người dùng từ xa, chính vì vậy có một nhiệm đặt ra với bạn.
Nếu tạo một kịch bản để thực hiện nhiệm vụ này thì bạn sẽ phải dựa vào người dùng để đăng xuất và quay trở về kịch bản để tiếp tục chạy. Không bao giờ xảy ra đối với khoảng một nửa các máy trạm, chính vì vậy bạn cần đến một cách khác.
Một giải pháp hoàn hảo ở đây là sử dụng Local Group – Group Policy Preference có thể thực hiện nhiệm vụ này trong khoảng 90 phút. Để thực hiện công việc này, bạn chỉ cần soạn thảo Group Policy Object (GPO) và cấu hình chính sách sau: User Configuration\Preferences\Control Panel Settings\Local Users và Groups\New\Local Group, thao tác sẽ mở ra hộp thoại New Local Group Properties như thể hiện trong hình 1.
Hình 1: Local Group GPP cho phép bạn kiểm soát thành viên của nhóm quản trị viên nội bộ
Sau khi mở trang thuộc tính này, hãy chọn “Remove the current user”. Tùy chọn này sẽ ảnh hưởng đến tất cả các tài khoản trong phạm vi quản lý của GPO có thiết lập này. Thiết lập này sẽ áp dụng trong suốt quá trình refresh ngầm của Group Policy tiếp theo, quá trình diễn ra không đến 90 phút.
Nhiệm vụ 2: Thêm Domain Admin và Local Administrator
Bước kế tiếp trong quá trình bảo vệ nhóm quản trị viên của nội bộ là bảo đảm rằng nhóm toàn cục Domain Admins và tài khoản local Administrator đều được thêm vào nhóm local Administrators trên mỗi desktop.
Có thể sử dụng chính sách Restricted Groups (các nhóm hạn chế) có trong Windows Active Directory Group Policy để thực hiện nhiệm vụ này. Tuy nhiên vấn đề với giải pháp này ở chỗ chính sách này là một chính sách “xóa và thay thế”, không phải là chính sách theo đúng nghĩa nối thêm dữ liệu. Chính vì vậy khi bạn cấu hình một chính sách để thực hiện nhiệm vụ này thì bạn sẽ xóa toàn bộ nội dung của nhóm local Administrators và thay thế nó bằng hai tài khoản này.
Bằng cách sử dụng chính sách Local Users and Groups được mô tả trong nhiệm vụ 1, bạn không chỉ có thể remove người dùng đã đăng nhập mà còn có thể bổ sung thêm hai tài khoản chính để bảo đảm có đúng các đặc quyền quản trị được thiết lập trên mỗi máy trạm, xem thể hiện trong hình 2.
Hình 2: Gắn thêm thành viên của nhóm local Administrators
Nhiệm vụ 3: Revome các tài khoản cụ thể
Bước cuối cùng trong công việc bảo vệ nhóm local Administrators là bảo đảm rằng chỉ có các tài khoản xác thực mới có quyền hội viên. Trong nhiều trường hợp, có những nhóm trong miền được thêm vào nhóm local Administrators để thực hiện một nhiệm vụ nào đó, hoàn tất một dự án hoặc thực hiện việc bảo trì. Nếu các nhóm này không cần thiết phải nằm trong nhóm local Administrators thì bạn hoàn toàn có thể remove chúng bằng chính sách Local Users and Groups mới.
Trong một trường hợp cũng tương tự như vậy mà bạn đã thêm vào hai tài khoản trong nhiệm vụ 2 thì cũng có thể thêm các tài khoản vào chính sách cần được remove. Để thực hiện điều này, bạn hãy chọn tùy chọn “Remove from this group” khi thêm tài khoản vào chính sách, xem thể hiện trong hình 3.
Hình 3: Remove một nhóm hoặc một người dùng nào đó từ nhóm local Administrators
Lúc này bạn có thể kiểm soát được toàn bộ thành viên của nhóm local Administrators, thậm chí còn có thể remove các tài khoản nhóm và người dùng không cần thiết.
Có được các công cụ và các Rule
Để bạn có thể lợi dụng các thiết lập của Group Policy Preferences trong Windows Server 2008 và Vista bạn chỉ cần có một trong những thứ dưới đây đối với mạng của mình:
- Windows Server 2008 Server
- Windows Vista SP1, đã cài đặt Remote Server Administrative Toolset
Cả hai hệ điều hành này đều có Group Policy Management Console và Group Policy Management Editor mới và đã được cải tiến.
Các thiết lập có trong Group Policy Preferences mới có thể áp dụng cho các hệ điều hành dưới đây:
- Windows XP SP2 và phiên bản cao hơn
- Windows Server 2003 SP1 và phiên bản cao hơn
- Windows Vista SP1 và phiên bản cao hơn
- Windows Server 2008 và phiên bản cao hơn
Tuy nhiên bất kỳ phiên bản Windows 2000 nào lại không được!
Kết luận
100% sự thật ở đây là các nhân viên CNTT không hề có điều khiển trên những máy trạm mà người dùng có các đặc quyền quản trị viên. Chính vì vậy tất các các công ty cần phải thực thi việc kiểm soát các máy trạm cũng như bảo vệ nhóm quản trị nội bộ. Các bước được giới thiệu trong bài này hoàn toàn có thể nhờ có sự trợ giúp của Group Policy Preferences có trong Windows Server 2008 và Vista. Chỉ cần một vài click, bạn có thể sẽ có được 100% quyền kiểm soát đối với các máy trạm của mình và nhóm quản trị nội bộ. Các thiết lập này sẽ áp dụng trong vòng khoảng 90 phút, có hiệu lực cho tất cả các máy tính nằm trong miền và trong mạng.
Linux 
Nền tảng Web 
Đồng hồ thông minh 
Chụp ảnh - Quay phim 
macOS 
Phần cứng 
Thủ thuật SEO 
Kiến thức cơ bản 
Raspberry Pi 
Dịch vụ ngân hàng 
Lập trình 
Dịch vụ công trực tuyến 
Dịch vụ nhà mạng 
Nhà thông minh 
Ứng dụng văn phòng 
Tải game 
Tiện ích hệ thống 
Ảnh, đồ họa 
Internet 
Bảo mật, Antivirus 
Họp, học trực tuyến 
Video, phim, nhạc 
Giao tiếp, liên lạc, hẹn hò 
Hỗ trợ học tập 
Máy ảo 
Khoa học vui 
Khám phá khoa học 
Bí ẩn - Chuyện lạ 
Chăm sóc Sức khỏe 
Khoa học Vũ trụ 
Khám phá thiên nhiên 
Phát minh Khoa học 
Điện máy 
Tivi 
Tủ lạnh 
Điều hòa 
Máy giặt 
Quạt các loại 
Cuộc sống 
Kỹ năng 
Món ngon mỗi ngày 
Làm đẹp 
Nuôi dạy con 
Chăm sóc Nhà cửa 
Du lịch 
Halloween 
Mẹo vặt 
Giáng sinh - Noel 
Tết 2024 
Quà tặng 
Giải trí 
Là gì? 
Nhà đẹp 
TOP 
Video 
Công nghệ 
Video Khoa học 
Ô tô, Xe máy 
Giấy phép lái xe 
Tấn công mạng 
Chuyện công nghệ 
Công nghệ mới 
Trí tuệ nhân tạo (AI) 
Anh tài công nghệ 
Bình luận công nghệ 
Tổng hợp 
Quiz công nghệ 
Microsoft Word 2016 
Microsoft Word 2013 
Microsoft Word 2007 
Microsoft Excel 2019 
Microsoft Excel 2016 
Microsoft PowerPoint 2019 
Microsoft PowerPoint 2016 
Google Sheets - Trang tính 
Code mẫu 
Photoshop CS6 
Photoshop CS5 
Lập trình Scratch 
HTML 
CSS và CSS3 
Python 
Lập trình C 
Lập trình C++ 
Lập trình C# 
Học HTTP 
Bootstrap 
SQL Server 
JavaScript 
Học PHP 
jQuery 
Học MongoDB 
Unix/Linux 
Học Git 
NodeJS