em có 1 đề bài tập như thế này ạ
Trong công ty có 5 phòng ban: Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Bảo Hành, Phòng Thử Nghiệm và Phòng Kế Toán.
Quy định mỗi người trong nhóm làm việc ở duy nhất một phòng ban (Người 1 làm tại Phòng Giám Đốc, Người 2 làm tại Phòng Kinh Doanh, …)
Tạo cho mỗi người một user

 Phòng Dự Án: không được truy cập vào registry, không cho thực hiện lệnh cmd, không thay đổi thiết lập sau khi tắt máy.
 Phòng Bảo Hành: Cho phép các user trong nhóm này tắt máy từ xa, không cho phép thay đổi các thuộc tính của LAN và không cho phép Auto play tất cả các loại ổ đĩa kể cả ổ đĩa USB.
Các bác có thể hướng dẫn em làm cái dòng tô đậm ko ạ, em mò mãi ko bít nó ở chỗ nào
thank các bác

Không thực hiện cmd: Cái này chắc chỉnh Security của file cmd.exe là được

Còn khúc sau không hiểu. Thiết lập là thiết lập gì?

Không thực hiện cmd: Cái này chắc chỉnh Security của file cmd.exe là được

Còn khúc sau không hiểu. Thiết lập là thiết lập gì?

là cấp phân quyền ấy mà.

đặt group rồi set phân quyền cho từng group thôi.

phòng dự án: DF
phòng bảo hành: GPO, xong!

là cấp phân quyền ấy mà.

đặt group rồi set phân quyền cho từng group thôi.

bác hướng dẫn kĩ hơn đươc ko ạ , em bít là phải phân quyền nhưng nhìu quá em ko biết cái nào nữa

phòng dự án: DF
phòng bảo hành: GPO, xong!

cái này nghĩa là sao hả bác :-s

DF=deep freeze, ngoài ra cũng có thể dùng GPO để cấm truy cập reg or cmd, nếu biết thêm thì tạo key trong reg để cấm khỏi cần dùng GPO, cho user chỉ là user bình thường, nhưng đề ra là "ko thay đổi thiết lập khi tắt máy" với câu này thì DF chắc ăn nhất! Cho dù với quyền user std thì người ta cũng có thể tinh chỉnh vài thứ, chỉ có DF mới ko thay đổi thiết lập khi tắt máy thôi!

DF=deep freeze, ngoài ra cũng có thể dùng GPO để cấm truy cập reg or cmd, nếu biết thêm thì tạo key trong reg để cấm khỏi cần dùng GPO, cho user chỉ là user bình thường, nhưng đề ra là "ko thay đổi thiết lập khi tắt máy" với câu này thì DF chắc ăn nhất! Cho dù với quyền user std thì người ta cũng có thể tinh chỉnh vài thứ, chỉ có DF mới ko thay đổi thiết lập khi tắt máy thôi!

bọn em ko được dùng phần mềm ạ , chỉ làm trên máy ảo , có 1 win sever và 1 win xp :-s

....
 Phòng Dự Án: không được truy cập vào registry, không cho thực hiện lệnh cmd, không thay đổi thiết lập sau khi tắt máy.
Các bác có thể hướng dẫn em làm cái dòng tô đậm ko ạ, em mò mãi ko bít nó ở chỗ nào
thank các bác

không cho thực hiện lệnh cmd, nghĩa là không cho xài cmd.exe. Cái này thì trong Active Directory Users and Computers bạn làm như sau:

+Khung bên trái, right click vào tên miền > New > Organizationl Unit....
....name: đặt tên đối tượng, ví dụ là cmd

+Khung bên phải: chọn group "Phòng Dự Án" kéo thả vào cái OU cmd mới tạo (nhớ tạo group này và add user vô trước nha)

+right click OU cmd > properties > thẻ Group Policy > click New, đặt tên cũng là cmd luôn cho dể nhớ > click Edit > xuất hiện cửa sổ Group Policy Object Editor
-Khung bên trái User Config > Admin Templates > System....
-khung bên phải, double click dòng Don't run specified Win applications và chọn Enable. Click nút Show....> gõ vào khung Show Content là cmd.exe > ok > ok
-Đóng cửa sổ Group Policy Object Editor lại

+Cập nhật lại chính sách bằng cách vào run > gpupdate /force


Lúc này lấy máy XP đăng nhập miền, nếu là tk thuộc "Phòng Dự Án" thì nó sẽ không cho xài cmd luôn

Còn vụ không thay đổi thiết lập sau khi tắt máy thì mình cũng chưa hiểu là như thế nào? đã tắt máy rồi thì còn thiết lap gì nữa, hơn nữa mặc định tk user cho dù là đang phiên làm việc đi nữa cũng đâu có thể thay đổi gì nhiều, nhất là các thứ thuộc về hệ thống. Tốt nhất là phải biết là thiết lập gì? chứ nói vậy chung chung quá

Bro tạo các group rồi áp GPO cho từng group là phướng án chính xác và hiệu quả nhất.

Cách áp GPO cho Group thì vô nhatnghe.com tham khảo, còn chọn GPO nào thì vô đó lựa từng cái xem cũng không khó để hiểu.


Còn vụ không thay đổi thiết lập sau khi tắt máy thì mình cũng chưa hiểu là như thế nào? đã tắt máy rồi thì còn thiết lap gì nữa, hơn nữa mặc định tk user cho dù là đang phiên làm việc đi nữa cũng đâu có thể thay đổi gì nhiều, nhất là các thứ thuộc về hệ thống. Tốt nhất là phải biết là thiết lập gì? chứ nói vậy chung chung quá

Cái này đại loại như là user khi log vào máy có thể thay đổi dekstop, theme... và máy sẽ thay đổi ngay lúc đó nhưng khi tắt máy bật lại thì máy y như ban đầu các thay đổi đó không có hiệu lực.

Bro tạo các group rồi áp GPO cho từng group là phướng án chính xác và hiệu quả nhất.

Cách áp GPO cho Group thì vô nhatnghe.com tham khảo, còn chọn GPO nào thì vô đó lựa từng cái xem cũng không khó để hiểu.



Cái này đại loại như là user khi log vào máy có thể thay đổi dekstop, theme... và máy sẽ thay đổi ngay lúc đó nhưng khi tắt máy bật lại thì máy y như ban đầu các thay đổi đó không có hiệu lực.
không cho thực hiện lệnh cmd, nghĩa là không cho xài cmd.exe. Cái này thì trong Active Directory Users and Computers bạn làm như sau:

+Khung bên trái, right click vào tên miền > New > Organizationl Unit....
....name: đặt tên đối tượng, ví dụ là cmd

+Khung bên phải: chọn group "Phòng Dự Án" kéo thả vào cái OU cmd mới tạo (nhớ tạo group này và add user vô trước nha)

+right click OU cmd > properties > thẻ Group Policy > click New, đặt tên cũng là cmd luôn cho dể nhớ > click Edit > xuất hiện cửa sổ Group Policy Object Editor
-Khung bên trái User Config > Admin Templates > System....
-khung bên phải, double click dòng Don't run specified Win applications và chọn Enable. Click nút Show....> gõ vào khung Show Content là cmd.exe > ok > ok
-Đóng cửa sổ Group Policy Object Editor lại

+Cập nhật lại chính sách bằng cách vào run > gpupdate /force


Lúc này lấy máy XP đăng nhập miền, nếu là tk thuộc "Phòng Dự Án" thì nó sẽ không cho xài cmd luôn

Còn vụ không thay đổi thiết lập sau khi tắt máy thì mình cũng chưa hiểu là như thế nào? đã tắt máy rồi thì còn thiết lap gì nữa, hơn nữa mặc định tk user cho dù là đang phiên làm việc đi nữa cũng đâu có thể thay đổi gì nhiều, nhất là các thứ thuộc về hệ thống. Tốt nhất là phải biết là thiết lập gì? chứ nói vậy chung chung quá



thank 2 bác nhiều :)

Trong công ty có 5 phòng ban: Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Bảo Hành, Phòng Thử Nghiệm và Phòng Kế Toán.
khúc sau lòi đâu ra thêm phòng Dự Án =))
"không thay đổi thiết lập" : bạn cấm luôn control panel cho xong.

Ko cho thay đổi thiết lập tức là cấu hình Mandatory Profiles đó...

khúc sau lòi đâu ra thêm phòng Dự Án =))
"không thay đổi thiết lập" : bạn cấm luôn control panel cho xong.

phòng dự án là phòng thử nghiệm đó :choler:
lock CP nhưng user vẫn cài đặt được thêm các thứ khác mà bro :nosebleed:
Ko cho thay đổi thiết lập tức là cấu hình Mandatory Profiles đó...

Nói rõ thêm đi bác :|