Hi,

Hổm nay vật lộn với vụ Group Policy, Roaming Profiles và Folder Redirection. Nhiều vấn đề quá. Mục đích của mình là user log vào mạng sẽ có chung 1 desktop với các shorcut định sẵn. Laptops cũng tương tự.

Mình làm bài LAB như sau :

1. Tạo thư mục Profiles trên Server, share full control everyone, chỉnh cho user sử dụng Roaming Profile (chọn No cache cho offline file). Tương tự cho HomeDirs nhưng phần Cache của HomeDirs thì để mặc định là user tự chọn Offline file.

3. Tạo policy cho Folder Redirection 2 folder : Application và My Documents, redirect lên ổ HomeDirs của user. Link tới OU chứa user.

4. Log vào 1 user domain tên là usertemplate trên Windows XP đã join domain, đưa toàn bộ shorcut của chương trình mà user này được phép sử dụng ra desktop.

5. Vô server, tạo 1 thư mục là Destops, share full control cho everyone, chọn Cache là All files and programs that user open will be automatically offline. Trong đây tạo 1 folder đặt tên là RestricedDesktop, chỉnh NTFS security ở
folder này cho user không có quyền Write.

6.Vào profile của usertemplate, take ownership, vào thư mục Desktop và copy mấy shorctut tới thư mục RestrictedDesktop. Tạo policy để redirect thư mục Desktop của user đến thư mục RestrictedDesktop này. Link policy này đến OU chứa User.

7. Tạo thêm 1 policy ẩn hết chương trình trên Programs, disable 1 số setting khác. Link tới OU chứa user.

8. Tạo 1 policy cho Software Restriction Policy, set Disallowed là chế độ Default, tạo 1 số Path rule để cho các chương trình cần thiết chạy.

Tất cả đều OK đối với trường hợp máy có nối mạng. Đ/v trường hợp các laptop (cũng join domain, cũng cần restricted desktop) thì khi disconnect khỏi mạng thì có khi vẫn mở được chương trình từ shortcut trên desktop, có khi không, nhấp vào không chạy gì cả ( mặc dù các shortcut đều có biểu tượng offline).

Mình có câu hỏi :

1. Làm sao để các laptop khi ra mạng, vẫn log vào domain, vẫn chịu policy do mình áp đặt và vẫn sử dụng restricted desktop đó ? ( mình còn thiếu bước nào nữa ???).
2. Vấn đề nhỏ mà không nhỏ : Làm sao để tất cả các user khi log vào domain đều có Quick launch trên thanh toolbar ?

Xin khai sáng giúp vụ này. Cám ơn rất rất nhiều.

Phải nói là hổm rày những vấn đề mà bác Nguyên nhà ta đưa ra là : khá hay và thú vị ... anh em hãy dành chút ít thời gian để gải quyết các vấn đề này ..

Phải nói là hổm rày những vấn đề mà bác Nguyên nhà ta đưa ra là : khá hay và thú vị ... anh em hãy dành chút ít thời gian để gải quyết các vấn đề này ..

Em còn thấy hay nữa là. Đụng chuyện mới biết. Hic.

Câu 1. Theo em có thể giải quyết bằng cách can thiệp vào thư mục Desktop trên Roaming Profile của từng laptop user ( quá cực luôn, take ownership, trả lại, ...), cho quyền chỉ đọc trên thư mục Desktop này. Giống như lúc trước anh camap chỉ. Thôi, cho laptop user muốn chỉnh sửa profile sao thì chỉnh, cho khoẻ.
Mặc định, do cơ chế cache, Group Policy được lưu trong Registry khi apply lần đầu cho user nên mặc dù ra khỏi mạng thì user vẫn phải chịu policy này.

Câu 2. Chưa biết.

Hi,

Hổm nay vật lộn với vụ Group Policy, Roaming Profiles và Folder Redirection. Nhiều vấn đề quá. Mục đích của mình là user log vào mạng sẽ có chung 1 desktop với các shorcut định sẵn. Laptops cũng tương tự.

Mình làm bài LAB như sau :

1. Tạo thư mục Profiles trên Server, share full control everyone, chỉnh cho user sử dụng Roaming Profile (chọn No cache cho offline file). Tương tự cho HomeDirs nhưng phần Cache của HomeDirs thì để mặc định là user tự chọn Offline file.

3. Tạo policy cho Folder Redirection 2 folder : Application và My Documents, redirect lên ổ HomeDirs của user. Link tới OU chứa user.

4. Log vào 1 user domain tên là usertemplate trên Windows XP đã join domain, đưa toàn bộ shorcut của chương trình mà user này được phép sử dụng ra desktop.

5. Vô server, tạo 1 thư mục là Destops, share full control cho everyone, chọn Cache là All files and programs that user open will be automatically offline. Trong đây tạo 1 folder đặt tên là RestricedDesktop, chỉnh NTFS security ở
folder này cho user không có quyền Write.

6.Vào profile của usertemplate, take ownership, vào thư mục Desktop và copy mấy shorctut tới thư mục RestrictedDesktop. Tạo policy để redirect thư mục Desktop của user đến thư mục RestrictedDesktop này. Link policy này đến OU chứa User.

7. Tạo thêm 1 policy ẩn hết chương trình trên Programs, disable 1 số setting khác. Link tới OU chứa user.

8. Tạo 1 policy cho Software Restriction Policy, set Disallowed là chế độ Default, tạo 1 số Path rule để cho các chương trình cần thiết chạy.

Tất cả đều OK đối với trường hợp máy có nối mạng. Đ/v trường hợp các laptop (cũng join domain, cũng cần restricted desktop) thì khi disconnect khỏi mạng thì có khi vẫn mở được chương trình từ shortcut trên desktop, có khi không, nhấp vào không chạy gì cả ( mặc dù các shortcut đều có biểu tượng offline).

Mình có câu hỏi :

1. Làm sao để các laptop khi ra mạng, vẫn log vào domain, vẫn chịu policy do mình áp đặt và vẫn sử dụng restricted desktop đó ? ( mình còn thiếu bước nào nữa ???).
2. Vấn đề nhỏ mà không nhỏ : Làm sao để tất cả các user khi log vào domain đều có Quick launch trên thanh toolbar ?

Xin khai sáng giúp vụ này. Cám ơn rất rất nhiều.

vấn đề 1 , ra mạng là ra đâu ? tức là rút cáp ra hả . bình thường khi user log on vào domain thành công thì nó sẽ chịu ảnh hưởng của các policy áp đặt cho nó cũng như restricted group của nó .
vấn đề 2 , gom các user cần đều chỉnh vô cái OU nào đó rồi tạo 1 cái policy , vào user configuration --> Admin template --> tìm cái gì mà taskbark đó ... là ok :cool:

vấn đề 1 , ra mạng là ra đâu ? tức là rút cáp ra hả . bình thường khi user log on vào domain thành công thì nó sẽ chịu ảnh hưởng của các policy áp đặt cho nó cũng như restricted group của nó .
vấn đề 2 , gom các user cần đều chỉnh vô cái OU nào đó rồi tạo 1 cái policy , vào user configuration --> Admin template --> tìm cái gì mà taskbark đó ... là ok :cool:

1.Ra mạng là ra ngoài mạng đó mà, không ở trong LAN, đi công tác chẳng hạn. Đọc 1 số nơi nói là nếu máy laptop ra ngoài, lấy IP từ DHCP của mạng khác thì sẽ không log vào domain sử dụng cơ chế cache credential được nữa???? Mình cũng chưa kịp thử cái này.

2.Không đơn giản như bạn nghĩ đâu. :$

he he, đau đầu đấy, nhất là tay vác laptop về mà có cu em làm it hoặc cùng lắm có chú em táy máy nghịch ngợm không là bác control nó cũng bỏ sừ rồi ...
chỉ cần nói đơn giản thế này nha : giả sử bác cấm tất tần tật, nhưng nó chỉ làm mỗi việc Open files lên làm việc => Save as lên HDD => save as lên Network drive => sau đó về nhà lấy cáp chéo ra copy về máy nhà ... hoặc không : attach vô email => save email đó lại, về nhà save as vô máy nhà ....
chỉ còn nước quay phim họ mà thôi.

he he, đau đầu đấy, nhất là tay vác laptop về mà có cu em làm it hoặc cùng lắm có chú em táy máy nghịch ngợm không là bác control nó cũng bỏ sừ rồi ...
chỉ cần nói đơn giản thế này nha : giả sử bác cấm tất tần tật, nhưng nó chỉ làm mỗi việc Open files lên làm việc => Save as lên HDD => save as lên Network drive => sau đó về nhà lấy cáp chéo ra copy về máy nhà ... hoặc không : attach vô email => save email đó lại, về nhà save as vô máy nhà ....
chỉ còn nước quay phim họ mà thôi.

Cái vụ chép dữ liệu thì kiểu này thì em không lo. Chính sách của công ty sẽ lo vụ này. Mà em nghĩ cũng chẳng có cách nào ngăn họ chép dữ liệu nếu cho họ đem máy về nhà cả. Chủ yếu là sự tự giác.
Lấy VD: 1 số trường hợp trong Office cho phép đọc mà không cho phép copy, save as. 1 cách thủ công nhất mà người ta có thể nghĩ ra là chụp hình lại...

1.Ra mạng là ra ngoài mạng đó mà, không ở trong LAN, đi công tác chẳng hạn. Đọc 1 số nơi nói là nếu máy laptop ra ngoài, lấy IP từ DHCP của mạng khác thì sẽ không log vào domain sử dụng cơ chế cache credential được nữa???? Mình cũng chưa kịp thử cái này.

2.Không đơn giản như bạn nghĩ đâu. :$

Vấn đề 1 :Nếu pác ở ngoài cty nhưng vẫn mún log on vô domain thì hởi cực , cái này tui cung chưa thử nhưng nếu có 1 cái tên DNS xài được trên internet thì vô tư , prefer DNS về NDS server của domain là được ( bác thử rồi cho tui kết quả )
Vấn đề 2 : Tui đã thủ rồi , cấm hay không cấm quicklaunch đều được
GPO -- > User configuration -->admin templates --> Start Menu ... --> Do not display any custom toolbar in the taskbar --> enable hay disable gì đó thì tùy )

Vấn đề 1 :Nếu pác ở ngoài cty nhưng vẫn mún log on vô domain thì hởi cực , cái này tui cung chưa thử nhưng nếu có 1 cái tên DNS xài được trên internet thì vô tư , prefer DNS về NDS server của domain là được ( bác thử rồi cho tui kết quả )
Vấn đề 2 : Tui đã thủ rồi , cấm hay không cấm quicklaunch đều được
GPO -- > User configuration -->admin templates --> Start Menu ... --> Do not display any custom toolbar in the taskbar --> enable hay disable gì đó thì tùy )

C1 : không bao giờ đc!
C2 : Ko áp lên đc!

Poor you,

Have fun!

C1 : không bao giờ đc!
C2 : Ko áp lên đc!

Poor you,

Have fun!

Có bao giờ thử chưa mà pác nói như vậy . trước khi phát biểu cái gì nên suy nghĩ cho kĩ , nhất là đói với những thành viên lâu năm .

C1 : không bao giờ đc!
C2 : Ko áp lên đc!

Poor you,

Have fun!

1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.

1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.

Nói chung mình đã test rồi mới post cho nguyen , cái đó policy chỉnh được mà , nguyen thử làm theo đương dẫn của mình thử .
Còn log on vo domian từ xa , mình thấy có 2 cách ,
1) mỗi lần logon nguyen thay co cai log on dial up hông nhưng cai này thì chậm .
2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ. :D )

Nói chung mình đã test rồi mới post cho nguyen , cái đó policy chỉnh được mà , nguyen thử làm theo đương dẫn của mình thử .
Còn log on vo domian từ xa , mình thấy có 2 cách ,
1) mỗi lần logon nguyen thay co cai log on dial up hông nhưng cai này thì chậm .
2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ. :D )
Mình đã test thử rồi đó chứ. Theo như policy đó thì mình phải chọn disable (disable với disable thì mới thành enable). Nhưng nó cũng không thể nào tự động có Quick Launch được. User phải chọn thì mới có.

1) Như vậy mình phải dùng VPN của Windows rồi. Trong trường hợp VPN sử dụng phần cứng thì thua ? Thật ra mình chỉ muốn user vẫn log vào domain sử dụng cơ chế cache là được rồi.

2) Rồi mình chỉnh fix cái Prefered DNS cho máy Laptop luôn ? Cái này đúng là không dễ thử.

Mình đã test thử rồi đó chứ. Theo như policy đó thì mình phải chọn disable (disable với disable thì mới thành enable). Nhưng nó cũng không thể nào tự động có Quick Launch được. User phải chọn thì mới có.

1) Như vậy mình phải dùng VPN của Windows rồi. Trong trường hợp VPN sử dụng phần cứng thì thua ? Thật ra mình chỉ muốn user vẫn log vào domain sử dụng cơ chế cache là được rồi.

2) Rồi mình chỉnh fix cái Prefered DNS cho máy Laptop luôn ? Cái này đúng là không dễ thử.

cái policy đó mình vô là có lun đó , hổng bên nguyen sao. mà bên chỗ nguyên domain có đăng kí hông ? nếu có thử tạo cái account đại ji` đó , tui log vô thử , hông cần VNP gì đâu!

1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.

1. bạn nguyennp thấy họ làm vụ này thiệt hông ?

2. file .bat or .exe ?


2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ.

bạn giải thích giùm mình cái này với, mình vẫn chưa hiểu ý của bạn lắm, cám ơn.

have fun!

1. bạn nguyennp thấy họ làm vụ này thiệt hông ?

2. file .bat or .exe ?



Thật chứ sao không anh ?
File toggleql.exe.
P/S:Anh Metal còn học bên NN không ? Hỏi Mr.M dùm em có được không (vụ laptop join domain, ra mạng, nhận IP,DNS do DHCP mạng khác cấp thì vẫn log on vào bằng cơ chế cache credential được???) ? Cám ơn anh nhiều.



mà bên chỗ nguyên domain có đăng kí hông ? nếu có thử tạo cái account đại ji` đó , tui log vô thử , hông cần VNP gì đâu!

Không có anhtri à. Mà Nguyên nghĩ chắc cũng ít ai chịu build cái external DNS để quản lý lắm. Thật sự cũng chưa hiểu ý bạn. Tại sao có trỏ DNS về external DNS của mình thì lại log vô được, còn thì không ? Vì có trỏ vô DNS thì cũng có thấy được DC đâu ???

Cái đó đau có gì ghê gớm đau nguyên. giống như pác lúc đầu join vô domain nào đó thì có phải là chỉ cái domain ra hông ? PC sẽ đi dò cái tên đó vi du vnpro.org, nếu hợp lệ ( có register ) và phân giải địa chỉ thì sẽ xuất hiện hộp thoại nhập tài khoản của admin rồi mới join vô được hay là tiến hành quá trình xác thực giữa server và client gì đó ? còn chuyện có thấy DC hay không thì cái đó lại là chuyện khác , không xây dựng được đường ra internet thì sao mà join từ xa được , đúng hông pác! Tại cái này tui chưa có dịp thử nên không dám chắc với các pác nhưng về nguyên tắc nó là như vậy mà! Bởi vậy tui kiu pác thử đi rồi reply cái kết quả cho anh em .

1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

được, khi login domain có mục chọn : Log on uíng Dial-up connection
Lúc đó trong máy của bạn đã có Dial-up VPN -> và bạn chọn nó để connect VPN trước khi login vào dc


.. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.
chuyện này đôi lúc cũng do quan điểm nhận thức của system manager nữa:
- Automatic toàn bộ.
- hay người sử dụng được phép tùy biến trong phạm vi nào đó.

Cái đó đau có gì ghê gớm đau nguyên. giống như pác lúc đầu join vô domain nào đó thì có phải là chỉ cái domain ra hông ? PC sẽ đi dò cái tên đó vi du vnpro.org, nếu hợp lệ ( có register ) và phân giải địa chỉ thì sẽ xuất hiện hộp thoại nhập tài khoản của admin rồi mới join vô được hay là tiến hành quá trình xác thực giữa server và client gì đó ? còn chuyện có thấy DC hay không thì cái đó lại là chuyện khác , không xây dựng được đường ra internet thì sao mà join từ xa được , đúng hông pác! Tại cái này tui chưa có dịp thử nên không dám chắc với các pác nhưng về nguyên tắc nó là như vậy mà! Bởi vậy tui kiu pác thử đi rồi reply cái kết quả cho anh em .

Đúng là chẳng có gì ghê gớm. Chẳng qua là tại mình.......chưa làm. :P Thật ra mấy cái này ai đó đã làm qua rồi, có gặp problem thì sẽ biết rõ.


không xây dựng được đường ra internet thì sao mà join từ xa được

Đọc cái này thì thấy hình như anhtri hiểu lầm ý của Nguyên. Đâu phải join từ xa đâu ? Mấy laptop này đã join rồi mà ???



được, khi login domain có mục chọn : Log on uíng Dial-up connection
Lúc đó trong máy của bạn đã có Dial-up VPN -> và bạn chọn nó để connect VPN trước khi login vào

Bắt buộc phải vậy hả anh ? Trở về câu hỏi trước của em nếu là VPN trên thiết bị thì sao ? Còn cơ chế cache hổng xài được?



chuyện này đôi lúc cũng do quan điểm nhận thức của system manager nữa:
- Automatic toàn bộ.
- hay người sử dụng được phép tùy biến trong phạm vi nào đó.

Anh thấy bài LAB trước em làm rồi đó, có Software Restriction Policy là biết yêu cầu cỡ nào rồi. Không cho chỉnh sửa, cài đặt, tùy biến gì hết ráo. Đưa cái gì là sử dụng cái đó thôi. :-(

Phức tạp nhỉ? hệ thống của anhtri maybe Domain Controller ở Internet luôn à? Domain name là External luôn????? phải thừa nhận là MS làm cái AD và Win là theo nhu cầu của đa số; cái mình muốn là thiểu số thì phải tìm cách khác lòng vòng vậy. ví dụ như tự viết chương trình; khởi động lên là: kiểm tra, ép, chuyển, map, xóa... tự làm hết luôn. :)

Hi,

Khi nào test thành công thì bác nguyennp ngồi viết lại 2 bài lab tuto (Folder Redirection, Offline file, và Software Restriction Policy) này lại hoàn chỉnh cho bà con xem nhe. :P

Have fun!

Phức tạp nhỉ? hệ thống của anhtri maybe Domain Controller ở Internet luôn à? Domain name là External luôn????? phải thừa nhận là MS làm cái AD và Win là theo nhu cầu của đa số; cái mình muốn là thiểu số thì phải tìm cách khác lòng vòng vậy. ví dụ như tự viết chương trình; khởi động lên là: kiểm tra, ép, chuyển, map, xóa... tự làm hết luôn. :)

Vậy để em đi rao , kiếm chương trình về cho pác viết ha ( nhớ chia hoa hồng ):D ...

Còn phải xem báo cáo nghiên cứu khả thi xem có lợi không đã. vì như đã nói, đây chỉ là thiểu số!