Phần A Tìm hiểu Group Policy 
Phần B Group Policy setting
Phần C Group Policy được Apply như thế nào?
Phần D Quản lý Group Policy 

Phần A Tìm hiểu Group Policy 
-Group policy là tập hợp các cấu hình user và computer mà nó chỉ rõ cách thực hiện những programs, network resource, và operation system đối với những users và computers trong 1 tổ chức. Group Policy có thể thiết lập trên computers, sites, domains, và OUs. 
Phân loại Group Policy Objects (GPOs) 
-Local GPOs: lưu trữ trên mỗi máy tính ngay cả khi máy tính không là một phần của môi trường AD. Local GPO ảnh hưởng chỉ trên máy tính mà nó lưu trữ. Local GPO được lưu trữ trong%Systemroot%\System32\GroupPolicy. 
-NonLocal GPOs: được tạo trong AD và phải được liên kết đến 1 site, domain, hoặc OU được áp đặt lên users hoặc computers. Để dùng Nonlocal GPOS cần phải cài đặt Windows 2000 hoặc Windows Server 2003 domain controller. 
Khi Active directory được cài đặt, có 2 nonlocal GPOs được tạo ra: 
Default Domain Policy: GPO này được liên kết tới domain, và nó ảnh hưởng đến tất cả users và computers trong domain (bao gồm những computers là domain controllers) thông qua sự kế thừa Group Policy. 
Default Domain Controllers Policy: GPO này được liên kết tới Domain Controllers OU, và nó chỉảnh hưởng đến DCs. 

Nonlocal GPOs được lưu trữ trong %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm 
Group Policy Object Editor 
Goup Policy Object Editors được tổ chức và quản lý các thiết lập GP trong mỗi GPO. 


Phần B Group Policy setting 
Group Policy settings được chứa trong 1 GPO và xác định môi trường User’s desktop. Có thể xem Group Policy setting cho 1 GPO trong Group Policy Object Editor. Có 2 kiểu Group Policy settings: Computer configuration settings và User configuration setting. 
Computer và User Configuration 
-Computer Configuration node chứa đựng các thiết lập được sử dụng tập hợp group policy được áp dụng lên computers bất chấp users nào logon vào nó. Computer configuration settings được áp dụng khi hệđiều hành khởi động. 
-User Configuration node chứa đựng các thiết lập được sử dụng tập hợp các group policy được áp dụng đến Users bất chấp user đăng nhập vào máy tính nào. User configuration setting được áp dụng khi users đăng nhập vào máy tính. 
Cả hai Computer Configuration và User Configuration nodes bao gồm các thiết lập cho việc installing software, thiết lập việc cài đặt và truy cập hệđiều hành Windows Server 2003, và thiết lập registry. Các thiết lập này được chứa trong Software settings, Windows settings, và Administrative Templates nodes. 
B.1 Software setting node 
Software setting node theo mặc định chỉ chứa Software Installation extention. Software Installaton extention giúp cài đặt các ứng dụng bên trong tổ chức của bạn. 
Khi cấu hình cài đặt Software Installation extension, bạn có thể quản lý 1 ứng dụng bên trong 1 GPO đó, GPO được kết hợp bên trong 1 Site, domain, hoặc OU. Ứng dụng có thể được quản lý trong 1 trong 2 cách: assigned hoặc published. 


B.2 Windows Settings Node 
Windows setting node chứa Scripts extension và security setting node 


Microsoft Word - Understanding Group Policy.doc Scripts extension cho phép xác định 2 kiểu của script: startup/shutdown (trong Computer
Configuration node) và logon/logoff (trong User Configuration node). Startup/shutdown 
scripts chạy khi máy tính khởi động hoặc tắt máy. Logon/logoff scrips chạy khi a usre log on hoặc log off máy tính. 
Khi gán nhiều logon/logoff hoặc startup/shutdown scripts đến 1 user hay computer, Windows server 2003 thực hiện scripts từ trên xuống. 
B.3 Administrative Templates Node 
Administrative Templates node chứ registry-based Group Policy setting. Có hơn 550 setting có thể sử dụng để cấu hình. 
Mỗi setting trong Administrative Templates node có: 
Not Configured The registry is not modified. 
Enabled The registry reflects that the policy setting is selected. 
Disabled The registry reflects that the policy setting is not selected. 

HKEY_LOCAL_MACHINE (HKLM) và HKEY_CURRENT_USER (HKCU) đặt thông tin resgistry của Group Policy trong 4 tree sau: 
HKEY_LOCAL_MACHINE\Software\Policies (computer settings) 
HKEY_CURRENT_USER\Software\Policies (user settings) 
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies (computer settings) 
HKEY_CURRENT_USER\Software\Microsoft
Windows\CurrentVersion\Policies (user settings

Trong Computer Configuration và Users Configuration nodes, Administrative Templates node chứa Windows Components, System, và Network nodes. Những máy trong Windows Components cho phép quản lý các thành phần Windows server 2003 bao gồm: Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler, Terminal services, Microsoft Windows Installer, Microsoft Windows Messenger, Microsoft Medea Player và Microsoft Update. 


Phần C Group Policy được Apply như thế nào? 
Group Policy được áp đặt theo thứ tự sau
-Local GPO. Mỗi máy tính chạy Windows server 2003 chính xác có 1 GPO được lưu trữ cục bộ. 
-Site GPOs. Bất cứ GPOs mà có đường link tới site thì được áp đặt ngay. Administrator chỉ rõ thứ tự của GPOs được link tới site. 
-Domain GPOs. Nhiều domain được link GPOs được áp đặt đồng bộ, administrator chỉ rõ thứ tự GPOs được link tới domain. 
-OU GPOs. GPOs được link tới OU cao nhất trong AD được áp đặt đầu tiên, tiếp theo GPO được link tới OU con. Cuối cùng, GPOs được link tới OU mà chứa user hoặc computer được áp đặt. 


C.1 Tính thừa kế (inheritance) trong Group Policy 
Group Policy được thừa kế trong những cách sau
-Nếu 1 policy setting được cấu hình (enable hoặc disable) cho 1 OU cha, và policy này không được cấu hình trên OUs con, thì OUs con thừa kế các thiết lập policy của OU cha. 
-Nếu 1 policy setting được cấu hình (enable hoặc disable) cho 1 OU cha, và policy cũng được cấu hình cho OU con, thì thiết lập Group Policy OUs con sẽ ghi đè lên các thiết lập được thừa kế từ OU cha. 
-Nếu bất kỳ policy setting nào của OU cha được thiết lập là Not Configured, OU con sẽ không thừa kế chúng. 
-Nếu 1 policy setting được cấu hình cho 1 OU cha và 1 policy setting được cấu hình cho 1 OU con là tương thích, OU con thừa kế các policy setting từ OU cha, và các policy setting con cũng được áp đặt. 
Ví dụ: Nếu 1 policy setting của OU cha tạo ra 1 Folder nào đó được đặt trong Desktop và policy setting của OU con cũng tạo thêm 1 Folder, thì người sử dụng trong OU con sẽ thấy cả hai Folder này. 
-Nếu 1 Policy setting được cấu hình cho 1 OU cha không tương thích với policy setting được cấu hình cho 1 OU con (Ví dụ: nếu thiết lập là Enable trong OU Cha và disable trong OU con), thì OU con sẽ không thừa hưởng policy setting từ OU cha. Chỉ thiết lập được cấu hình cho OU con được áp đặt.