Mục Lục:
I. Giới thiệu về Group Policy Object và mô hình bài Lab (GPO)
II. Cấu hình Import Certificate sử dụng GPO cho PC join domain
III. Kiểm tra certificate đã được import cho PC join domain


Lưu ý: Domain server trong bài lab này được cấu hình trên Windows Server 2019

I. Giới thiệu về Group Policy Object và mô hình bài Lab (GPO)

Bài Lab bao gồm các thành phần như: Windows Server 2019 đóng vài trò làm Active Directory (AD) và 1 PC Windows 10 đã join domain

Yêu cầu của bài Lab:

• Cấu hình GPO trên AD để tự động import certificate cho PC đã join domain và kiểm tra PC đã được import Certificate khi được update GPO.

GPO là viết tắt của Group Policy Object, là một đối tượng chính sách nhóm trong Active Directory của Microsoft Windows. Nó cho phép quản trị viên hệ thống cấu hình cài đặt cho người dùng và máy tính trong môi trường mạng một cách nhanh chóng bằng cách triển khai GPO trên AD và nó sẽ áp dụng cho các thiết bị đã Join Domain.

GPO bao gồm các cài đặt cho nhiều khía cạnh khác nhau của hệ thống, bao gồm:

• Bảo mật: Ví dụ: yêu cầu mật khẩu mạnh, khóa tài khoản sau một số lần thử đăng nhập không thành công, bật tường lửa.
• Phần mềm: Ví dụ: cài đặt phần mềm, cấu hình cài đặt phần mềm, cấm cài đặt phần mềm không mong muốn.
• Hệ thống: Ví dụ: cài đặt thời gian hệ thống, cấu hình các tùy chọn màn hình, quản lý quyền truy cập vào thiết bị ngoại vi.
• Người dùng: Ví dụ: di chuyển hồ sơ người dùng, cấu hình cài đặt máy tính để bàn, giới hạn thời gian sử dụng máy tính.

GPO mang lại những lợi ích khi sử dụng, bao gồm:

• Quản lý tập trung: GPO cho phép quản trị viên quản lý cài đặt cho nhiều người dùng và máy tính cùng lúc, thay vì phải cấu hình từng cái một.
• Tăng cường bảo mật: GPO có thể được sử dụng để thực thi các chính sách bảo mật giúp bảo vệ mạng khỏi các mối đe dọa.
• Tiết kiệm thời gian và công sức: GPO có thể tự động hóa các tác vụ quản trị, giúp tiết kiệm thời gian và công sức cho quản trị viên.
• Chuẩn hóa: GPO có thể được sử dụng để đảm bảo rằng tất cả người dùng và máy tính trong mạng đều có cùng cấu hình.

Cách thức hoạt động của GPO:

1. Quản trị viên tạo GPO: Quản trị viên sử dụng Group Policy Management Console (GPMC) để tạo GPO và định cấu hình các cài đặt mong muốn.
2. GPO được liên kết với OU: GPO được liên kết với một Organizational Unit (OU) trong Active Directory.
3. Máy tính và người dùng áp dụng GPO: Khi máy tính hoặc người dùng thuộc về OU được liên kết với GPO, họ sẽ áp dụng các cài đặt được định cấu hình trong GPO.

GPO được chia làm các loại cơ bản dưới đây, tùy vào mục đích mà sử dụng cho phù hợp:

• GPO dựa trên miền: GPO được áp dụng cho tất cả người dùng và máy tính trong miền.
• GPO dựa trên OU: GPO được áp dụng cho người dùng và máy tính trong một OU cụ thể.
• GPO cục bộ: GPO được áp dụng cho một máy tính cục bộ duy nhất.

II. Cấu hình Import Certificate sử dụng GPO cho PC join domain

Để cấu hình GPO import certificate tiến hành vào phần Tools > chọn Group Policy Management.

Tiến hành chọn OU muốn apply GPO (OU này chứa các PC đã join domain cần import certificate) rồi chọn chuột phải > Create a GPO in this domain, and Link it here...

Tiếp theo tiến hành đặt tên cho GPO.

Sau đó tiến hành chọn GPO vừa tạo và chọn Edit... để tiến hành vào console cấu hình cho GPO.

Sau đó tiến hành vào đường dẫn sau để áp dụng GPO cho PC Computer Configuration > Policies > Windows Settings > Public Key Policies > Trusted Root Certification Authorities > chọn Import...

Tiếp theo tại giao điện import certificate tiến hanh chọn Next để tiến hành import.

Tiếp theo tiến hành chọn đường dẫn của File Certificate muốn import rồi chọn Next.

Tiến hành chọn nơi chứa Certificate sau khi import đảm bảo chọn Trusted Root Certification Authorities, sau đó chọn Next.

Cuối cùng chọn Finish để hoàn thành quá trình import certificate.

Kiểm tra certificate đã được add vào thành công trên GPO như hình bên dưới.


III. Kiểm tra certificate đã được import cho PC join domain

Sau khi cấu hình xong GPO cần update cho các PC trong OU (hoặc chờ 90 phút các PC join domain sẽ tự động update) bằng cách chuột phải vào OU chứa máy tính cần import certificate rồi chọn Group Policy Update...

Tiến hành chọn "Yes" để xác nhận quá trình update GPO ngay lập tức cho các PC join domain.

Sau khi GPO đã được áp dụng cho các PC join domain tiến hành truy cập run > certmgr.msc và vào phần Certificates - Local Computer > Trusted Root Certificate Authorities > Certificates lúc này sẽ thấy certificate trên đã được import.