How to set up automatic backups Cpanel

Using the script provided below you will be able to make automatic full cPanel backups of your account.

This backup script includes SSL support. This is not necessary if you run the script on the server for which you are generating the backup; but the SSL support could be important if you are running the script somewhere else to connect to your cPanel hosting account.


<?php
// PHP script to allow periodic cPanel backups automatically, optionally to a remote FTP server. 
// This script contains passwords. It is important to keep access to this file secure (we would ask you to place it in your home directory, not public_html) 
// You need create 'backups' folder in your home directory ( or any other folder that you would like to store your backups in ). 
// ********* THE FOLLOWING ITEMS NEED TO BE CONFIGURED ********* 
// Information required for cPanel access 
$cpuser = "username"; // Username used to login to cPanel 
$cppass = "password"; // Password used to login to cPanel. NB! you could face some issues with the "$#&/" chars in the password, so if script does not work, please try to change the password. 
$domain = "example.com";// Your main domain name 
$skin = "x"; // Set to cPanel skin you use (script will not work if it does not match). Most people run the default "x" theme or "x3" theme 
// Information required for FTP host 
$ftpuser = "ftpusername"; // Username for FTP account 
$ftppass = 'ftppassword'; // Password for FTP account NB! you could face some issues with the "$#&/" chars in the password, so if script does not work, please try to change the password.$ftphost = "ip_address"; // IP address of your hosting account 
$ftpmode = "passiveftp"; // FTP mode 
// Notification information $notifyemail = "any@example.com"; // Email address to send results  
// Secure or non-secure mode $secure = 0; // Set to 1 for SSL (requires SSL support), otherwise will use standard HTTP 
// Set to 1 to have web page result appear in your cron log $debug = 0; 
// *********** NO CONFIGURATION ITEMS BELOW THIS LINE ********* 
$ftpport = "21"; 
$ftpdir = "/backups/"; // Directory where backups stored (make it in your /home/ directory). Or you can change 'backups' to the name of any other folder created for the backups; 
if ($secure) { 
$url = "ssl://".$domain; 
$port = 2083; 
} else { 
$url = $domain; 
$port = 2082; 
} 
$socket = fsockopen($url,$port); 
if (!$socket) { echo "Failed to open socket connection... Bailing out!n"; exit; } 
// Encode authentication string 
$authstr = $cpuser.":".$cppass; 
$pass = base64_encode($authstr); 
$params = "dest=$ftpmode&email=$notifyemail&server=$ftphost&user=$ftpuser&pass=$ftppass&port=$ftpport&rdir=$ftpdir&submit=Generate Backup"; 
// Make POST to cPanel 
fputs($socket,"POST /frontend/".$skin."/backup/dofullbackup.html?".$params." HTTP/1.0\r\n"); 
fputs($socket,"Host: $domain\r\n"); 
fputs($socket,"Authorization: Basic $pass\r\n"); 
fputs($socket,"Connection: Close\r\n"); 
fputs($socket,"\r\n"); 
// Grab response even if we do not do anything with it. 
while (!feof($socket)) { 
$response = fgets($socket,4096); if ($debug) echo $response; 
} 
fclose($socket); 
?> 

   To schedule the script to run regularly, save it as fullbackup.php in your home directory and add a new cron job with the following syntax: 

00 2 * * 1 /usr/local/bin/php /home/youraccount/fullbackup.php 
(Runs every Sunday night at 2:00 a.m.) 

NOTE 1: In order to exclude the backups folder from automatic backup generation (if your account is a couple GBs big, disk space usage will increase drastically, as every new backup will contain all the former ones), look for the cpbackup-exclude.conf file in the home directory, add the folder name and use an asterisk * after the directory if you want to exclude all the files from a directory, or add the path to the file you wish to exclude from backups then and save the changes:




NOTE 2: If your account is hosted on a shared server, make sure your script usage is optimized in order not to overload the server. 

NOTE 3: We do not provide code debugging services. This script is provided as a matter of courtesy for your convenience only.

or using tool : http://www.freeautobackup.com/

Source: https://www.namecheap.com/support/knowledgebase/article.aspx/915

Rsync – Công cụ đồng bộ dữ liệu hiệu quả

Rsync (Remote Sync) là một công cụ dùng để sao chép và đồng bộ file/thư mục được dùng rất phổ biến. Với sự trợ giúp của rsync, bạn có thể đồng bộ dữ liệu trên local hoặc giữa các server với nhau một cách dễ dàng.

Nội dung bài viết

I. Tính năng nổi bật của Rsync

II. Cài đặt Rsync

III. Sử dụng Rsync

1. Copy file và thư mục trên local

2. Copy file và thư mục giữa các server

3. Rsync qua SSH

4. Hiển thị tiến trình trong khi transfer dữ liệu với rsync

5. Sử dụng tùy chọn –include và –exclude

6. Sử dụng tùy chọn –delete

7. Giới hạn dung lượng tối đa của file được đồng bộ

8. Tự động xóa dữ liệu nguồn sau khi đồng bộ thành công

9. Chạy thử nghiệm Rsync

10. Giới hạn bandwidth

IV. Tổng kết

I. Tính năng nổi bật của Rsync

• Rsync hỗ trợ copy giữ nguyên thông số của files/folder như Symbolic links, Permissions, TimeStamp, Owner và Group.
• Rsync nhanh hơn scp vì Rsync sử dụng giao thức remote-update, chỉ transfer những dữ liệu thay đổi mà thôi.
• Rsync tiết kiệm băng thông do sử dụng phương pháp nén và giải nén khi transfer.
• Rsync không yêu cầu quyền super-user.

II. Cài đặt Rsync

Rsync được cài đặt dễ dàng với một dòng lệnh:

– Trên Red Hat/CentOS

yum install rsync

– Trên Debian/Ubuntu

apt-get install rsysnc

III. Sử dụng Rsync

Câu lệnh căn bản của rsync:

rsync options source destination

Trong đó:

• Source: dữ liệu nguồn
• Destination: dữ liệu đích
• Options: một số tùy chọn thêm

Các tham số cần biết khi dùng Rsync

• -v: hiển thị trạng thái kết quả
• -r: copy dữ liệu recursively, nhưng không đảm bảo thông số của file và thư mục
• -a: cho phép copy dữ liệu recursively, đồng thời giữ nguyên được tất cả các thông số của thư mục và file
• -z: nén dữ liệu khi transfer, tiết kiệm băng thông tuy nhiên tốn thêm một chút thời gian
• -h: human-readable, output kết quả dễ đọc
• --delete: xóa dữ liệu ở destination nếu source không tồn tại dữ liệu đó.
• --exclude: loại trừ ra những dữ liệu không muốn truyền đi, nếu bạn cần loại ra nhiều file hoặc folder ở nhiều đường dẫn khác nhau thì mỗi cái bạn phải thêm --excludetương ứng.

Rsync không tự động chạy nên thường được dùng kết hợp với crontab. Tiếp theo mình sẽ giới thiệu một số ví dụ thường dùng với Rsync và kết thúc bài là script mình dùng để tự động backup toàn bộ VPS hàng ngày.

Khi lần đầu chạy rsync, toàn bộ dữ liệu nguồn sẽ được copy đến server đích, từ lần chạy sau trở đi chỉ những dữ liệu chưa được copy mới được transfer – đây là quá trình đồng bộ dữ liệu. Do đó, bạn có thể hiểu rsync thực hiện việc copy hoặc đồng bộ đều đúng. Trong bài viết mình sẽ sử dụng duy nhất khái niệm Copy cho ngắn gọn nhé.

1. Copy file và thư mục trên local

Copy file trên local

[root@hocvps]# rsync -zvh backup.tar /tmp/backups/

created directory /tmp/backups

backup.tar

sent 14.71M bytes  received 31 bytes  3.27M bytes/sec

total size is 16.18M  speedup is 1.10

Ví dụ trên copy file backup.tar sang thư mục /tmp/backups/ trên cùng một máy. Như bạn thấy thư mục đích chưa có nên rsync tự động tạo trước khi copy.

Copy thư mục trên local

[root@hocvps]# rsync -avzh /root/rpmpkgs /tmp/backups/

sending incremental file list

rpmpkgs/

rpmpkgs/httpd-2.2.3-82.el5.centos.i386.rpm

rpmpkgs/mod_ssl-2.2.3-82.el5.centos.i386.rpm

rpmpkgs/nagios-3.5.0.tar.gz

rpmpkgs/nagios-plugins-1.4.16.tar.gz

sent 4.99M bytes  received 92 bytes  3.33M bytes/sec

total size is 4.99M  speedup is 1.00

Câu lệnh trên copy toàn bộ file từ thư mục /root/rpmpkgs đến thư mục /tmp/backups/ trên cùng một máy.

2. Copy file và thư mục giữa các server

Copy thư mục từ Local lên Remote Server

[root@hocvps]# rsync -avz rpmpkgs/ root@192.168.0.101:/home/

root@192.168.0.101's password:

sending incremental file list

./

httpd-2.2.3-82.el5.centos.i386.rpm

mod_ssl-2.2.3-82.el5.centos.i386.rpm

nagios-3.5.0.tar.gz

nagios-plugins-1.4.16.tar.gz

sent 4993369 bytes  received 91 bytes  399476.80 bytes/sec

total size is 4991313  speedup is 1.00

Lệnh trên copy thư mục rpmpkgs từ Local lên Remote Server có IP 192.168.0.101, lưu ở thư mục/home/

Copy thư mục từ Remote Server về Local

[root@hocvps]# rsync -avzh root@192.168.0.100:/home/tarunika/rpmpkgs /tmp/myrpms

root@192.168.0.100's password:

receiving incremental file list

created directory /tmp/myrpms

rpmpkgs/

rpmpkgs/httpd-2.2.3-82.el5.centos.i386.rpm

rpmpkgs/mod_ssl-2.2.3-82.el5.centos.i386.rpm

rpmpkgs/nagios-3.5.0.tar.gz

rpmpkgs/nagios-plugins-1.4.16.tar.gz

sent 91 bytes  received 4.99M bytes  322.16K bytes/sec

total size is 4.99M  speedup is 1.00

Lệnh trên sẽ copy dữ liệu ở thư mục /home/tarunika/rpmpkgs trên Remote Server 192.168.0.100về máy Local lưu ở thư mục /tmp/myrpms

3. Rsync qua SSH

Với Rsync, bạn có thể transfer qua giao thức SSH, qua đó dữ liệu được bảo mật an toàn hơn.

Copy file từ Remote Server về Local Server qua SSH

Để xác định giao thức sẽ sử dụng với rsync, bạn cần thêm tùy chọn -e cùng với tên giao thức, ở đây là ssh.

[root@hocvps]# rsync -avzhe ssh root@192.168.0.100:/root/install.log /tmp/

root@192.168.0.100's password:

receiving incremental file list

install.log

sent 30 bytes  received 8.12K bytes  1.48K bytes/sec

total size is 30.74K  speedup is 3.77

Lệnh trên copy file /root/install.log trên Remote Server 192.168.0.100 về thư mục /tmp/ trên máy Local.

Copy file từ Local lên Remote Server qua SSH

[root@hocvps]# rsync -avzhe ssh backup.tar root@192.168.0.100:/backups/

root@192.168.0.100's password:

sending incremental file list

backup.tar

sent 14.71M bytes  received 31 bytes  1.28M bytes/sec

total size is 16.18M  speedup is 1.10

4. Hiển thị tiến trình trong khi transfer dữ liệu với rsync

Để hiển thị tiến độ transfer dữ liệu, bạn có thể sử dụng tùy chọn --progress

[root@hocvps]# rsync -avzhe ssh --progress /home/rpmpkgs root@192.168.0.100:/root/rpmpkgs

root@192.168.0.100's password:

sending incremental file list

created directory /root/rpmpkgs

rpmpkgs/

rpmpkgs/httpd-2.2.3-82.el5.centos.i386.rpm

           1.02M 100%        2.72MB/s        0:00:00 (xfer#1, to-check=3/5)

rpmpkgs/mod_ssl-2.2.3-82.el5.centos.i386.rpm

          99.04K 100%  241.19kB/s        0:00:00 (xfer#2, to-check=2/5)

rpmpkgs/nagios-3.5.0.tar.gz

           1.79M 100%        1.56MB/s        0:00:01 (xfer#3, to-check=1/5)

rpmpkgs/nagios-plugins-1.4.16.tar.gz

           2.09M 100%        1.47MB/s        0:00:01 (xfer#4, to-check=0/5)

sent 4.99M bytes  received 92 bytes  475.56K bytes/sec

total size is 4.99M  speedup is 1.00

5. Sử dụng tùy chọn –include và –exclude

Hai tùy chọn này cho phép chúng ta thêm hoặc bớt file hoặc thư mục trong quá trình đồng bộ dữ liệu.

[root@hocvps]# rsync -avze ssh --include 'R*' --exclude '*' root@192.168.0.101:/var/lib/rpm/ /root/rpm

root@192.168.0.101's password:

receiving incremental file list

created directory /root/rpm

./

Requirename

Requireversion

sent 67 bytes  received 167289 bytes  7438.04 bytes/sec

total size is 434176  speedup is 2.59

Ở ví dụ trên, Rsync include toàn bộ những file hoặc thư mục có tên bắt đầu bởi ký tự ‘R’ và exclude toàn bộ những file hoặc thư mục còn lại.

6. Sử dụng tùy chọn –delete

Nếu muốn xóa một file hoặc thư mục không có ở thư mục nguồn, mà lại xuất hiện ở thư mục đích trong quá trình transfer, bạn hãy sử dụng tùy chọn --delete.

[root@hocvps]#  touch test.txt
[root@hocvps]# rsync -avz --delete root@192.168.0.100:/var/lib/rpm/ .
Password:
receiving file list ... done
deleting test.txt
./
sent 26 bytes  received 390 bytes  48.94 bytes/sec
total size is 45305958  speedup is 108908.55

Server đích đã có file test.txt, trong quá trình đồng bộ với option --delete, file sẽ bị xóa.

7. Giới hạn dung lượng tối đa của file được đồng bộ

Để giới hạn những file lớn được đồng bộ, bạn có thể sử dụng option --max-size

[root@hocvps]# rsync -avzhe ssh --max-size='200k' /var/lib/rpm/ root@192.168.0.100:/root/tmprpm

root@192.168.0.100's password:

sending incremental file list

created directory /root/tmprpm

./

Conflictname

Group

Installtid

Name

Provideversion

Pubkeys

Requireversion

Sha1header

Sigmd5

Triggername

__db.001

sent 189.79K bytes  received 224 bytes  13.10K bytes/sec

total size is 38.08M  speedup is 200.43

8. Tự động xóa dữ liệu nguồn sau khi đồng bộ thành công

Để rsync tự động xóa dữ liệu sau khi đồng bộ lên server đích thành công, bạn có thể sử dụng lựa chọn --remove-source-files

[root@hocvps]# rsync --remove-source-files -zvh backup.tar /tmp/backups/

backup.tar

sent 14.71M bytes  received 31 bytes  4.20M bytes/sec

total size is 16.18M  speedup is 1.10

[root@hocvps]# ll backup.tar

ls: backup.tar: No such file or directory

9. Chạy thử nghiệm Rsync

Nếu bạn không chắc câu lệnh có thực hiện chính xác những gì mong muốn hay không, hãy thêm tùy chọn --dry-run.

Rsync lúc này sẽ không thay đổi gì dữ liệu cả mà chỉ show output mà thôi. Nếu mọi thứ hoạt động ổn, hãy bỏ tùy chọn --dry-run ra khỏi câu lệnh.

root@hocvps]# rsync --dry-run --remove-source-files -zvh backup.tar /tmp/backups/

backup.tar

sent 35 bytes  received 15 bytes  100.00 bytes/sec

total size is 16.18M  speedup is 323584.00 (DRY RUN)

10. Giới hạn bandwidth

[root@hocvps]# rsync --bwlimit=100 -avzhe ssh  /var/lib/rpm/  root@192.168.0.100:/root/tmprpm/
root@192.168.0.100's password:
sending incremental file list
sent 324 bytes  received 12 bytes  61.09 bytes/sec
total size is 38.08M  speedup is 113347.05

IV. Tổng kết

Ứng dụng của Rsync có rất nhiều, bạn có thể đồng bộ hóa file giữa các thư mục, giữa các server qua đó backup server sang một server khác hoặc synchronize real time. Tùy nhu cầu mà bạn hãy ứng dụng Rsync cho hiệu quả.

Chúc bạn thành công.

nguồn : http://hocvps.com/rsync/

Zimbra Hot Backup Restore Tool

Tool to create and restore backups of Zimbra open source.

Zimbra Backup and Restore "hot". By Richardson Limahttp://br.linkedin.com/in/richardsonlima

Developed in Bash Script, but currently under development in the Python programming language.

BACKUP

Script 1 This script must be run as root, it runs the script runBackupAll.sh and also sends the entire backup to a second machine.

``` echo "***************************************************" echo "* Zimbra - Backup all email accounts *" echo "***************************************************" echo"" # echo Start time of the backup = $(date +%T)
before="$(date +%s)" # echo "" ZHOME=/opt/zimbra ZBACKUP=$ZHOME/backup/mailbox echo "Generating backup files ..." su - zimbra -c "/opt/backup/SCRIPT_ZIBRA_BACKUP_ALL_ACCOUNTS/zimbra_backup_allaccounts.sh" echo "Sending files to backup all email accounts for Machine2 ..." rsync -avH $ZBACKUP root@ipaddress:/backup/zimbra_backup_accounts before2="$(date +%s)" # echo The process lasted = $(date +%T)

Calculating time

after="$(date +%s)" elapsed="$(expr $after - $before)" hours=$(($elapsed / 3600)) elapsed=$(($elapsed - $hours * 3600)) minutes=$(($elapsed / 60)) seconds=$(($elapsed - $minutes * 60)) echo The complete backup lasted : "$hours hours $minutes minutes $seconds seconds" ```

Script 2 zimbraBackupAllAccounts.sh

ZHOME=/opt/zimbra ZBACKUP=$ZHOME/backup/mailbox ZCONFD=$ZHOME/conf DATE=`date +"%a"` ZDUMPDIR=$ZBACKUP/$DATE ZMBOX=/opt/zimbra/bin/zmmailbox if [ ! -d $ZDUMPDIR ]; then mkdir -p $ZDUMPDIR fi echo " Running zmprov ... " for mbox in `zmprov -l gaa` do echo " Generating files from backup $mbox ..." $ZMBOX -z -m $mbox getRestURL "//?fmt=zip" > $ZDUMPDIR/$mbox.zip done

RESTORE

Script 3 This script must be run as root, it runs the script runRestoreAll.sh and also sends the entire backup to machine. zimbra_restore_allaccounts.sh

``` echo "***************************************************" echo "* Zimbra - Restore all email accounts *" echo "***************************************************" echo "" # echo Start Time Restore = $(date +%T)
before="$(date +%s)" # echo "" echo "Starting the process restore the backup files ..." su - zimbra -c "/opt/zimbra_backup_accounts/zimbra_restore_allaccounts.sh" before2="$(date +%s)" echo The process lasted = $(date +%T)

Calculating time

after="$(date +%s)" elapsed="$(expr $after - $before)" hours=$(($elapsed / 3600)) elapsed=$(($elapsed - $hours * 3600)) minutes=$(($elapsed / 60)) seconds=$(($elapsed - $minutes * 60)) echo "The complete restore lasted : "$hours hours $minutes minutes $seconds seconds" echo "Process completed successfully!" ```

**Script 4 zimbra_restore_allaccounts.sh ```

!/bin/bash

ZHOME=/opt/zimbra

!/bin/bash

ZHOME=/opt/zimbra

ZBACKUP=$ZHOME/backup/mailbox

ZBACKUP=/opt/zimbra_backup_accounts/mailbox ZCONFD=$ZHOME/conf DATE=date +"%a"ZDUMPDIR=$ZBACKUP/$DATE ZMBOX=/opt/zimbra/bin/zmmailbox if [ ! -d $ZDUMPDIR ]; then echo "Backups do not exist !" exit 255; fi for mbox in zmprov -l gaa do echo " Restoring files from backup $mbox ..." $ZMBOX -z -m $mbox postRestURL "//?fmt=zip&resolve=reset" $ZDUMPDIR/$mbox.zip done ```**

Tìm hiểu Group Policy Object và các ví dụ

Group policy có thể được coi là một thứ system policy (phiên bản cũ). Các chính sách này được MS phát minh ra từ Windows 2000, áp dụng được với các hệ điều hành kể từ bản windows 2000. Một số đặc điểm của Group Policy:

–          Các group policy chỉ có thể hiện hữu trên miền Active Directory.

–          Các group policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khở động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như Computer, My Document)…

–          Group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD.

–          Các Group policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy được áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm (được cấu hình trước).

–          Tuy gọi là Group nhưng các group policy chủ yếu được áp dụng cho các site, domain và OU (Organiztion Unit). Thực ra cũng có thể áp dụng chúng cho các nhóm nwgowfi dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng.

–          Trên các máy tính local, có thể sử dụng local group policy để áp dụng cho máy đó (chỉ duy nhất máy đó).

–          Các group policy áp dụng cho các đối tượng gọi là Group policy Objject (GPO). Các GPO được lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗi GPOP bao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainame\Plocyes\GUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO.

–          Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group policy object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy).

Tìm hiểu Group Policy Object và các ví dụ

Các thành phần trong Group Policy Object

Phần I: Computer Configuration:

Windows Setting: 

Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống…

– Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown.

– Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào.

Account Policies: Các chính sách áp dụng cho tài khoản người dùng.

Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ.

Public Key Policies. Các chính sách khóa dùng chung.

Chi tiết từng thành phần:

1. Acount Policies:

Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

– Enforce password history: Với những người sử dụng không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn liên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.

– Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thay đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quan của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày, giá trị mặc định là 42 ngày.

– Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. bạn cần thiết lập Minimum password age lớn hơn 0 nếu muốn chính sách enforce password history có hiệu quả vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.

– Minimum password length: Độ dài nhỏ tối thiểu của mật khẩu tài khoản (tính mằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là 0 nếu không muốn sử dụng mật khẩu. Giá trị mặc định là 0.

– Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu, nếu tính năng này có hiệu lực, mật khẩu của tài khoản ít nhất phải đạt những yêu cầu sau:

+ Không chứa tất cả hoặc một phần tên tài khoản ng ười dùng.

+ Độ dài nhỏ nhất là 6 ký tự.

+ Chứa 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a->z), các chữ cái hoa (A->Z>), các chữ số (0->9) và các ký tự đặc biệt.

Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu, mặc định là: Disable.

Store password using reversible encryption fo all user in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng giao thức, nó yêu cầu sự am hiểu về mật khẩu người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngược thực chất giống như việc lưu trữ các văn bản mã hóa các thông tin bảo vệ mật khẩu. Mặc định: Disable.

b. Acount lockout Policy: 

– Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi mở khóa được thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.

– Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.

– Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.

2. Local Policy: các chính sách cục bộ

– User rights Assignments: Ấn định quyền cho người dùng.

Quyền của người dùng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian cho hệ thống….

Trong phần này để cấu hình cho một mục nào đó, click đúp chuột lên mục và click Add user or group để trao quyền mặc định cho user hoặc group theo yêu cầu.

+ Access this computer from the network: Với những kẻ tò mò, tốt nhất chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào hoặc nhóm nào.

+ Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

+ Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạc như một thành viên trong domain.

+ Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích xấu như tấn công từ chối dịch vụ DoS (Dial of Service).

+ Allow logon through Terminal Services: Terminal services là một dịch vụ cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập hệ thống.

+ backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu.

+ Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống.

+ Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung.

+ Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa.

+ Shutdown the system: Cho phép ai có quyền shutdown máy.

+ Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy.

+ Deny logon localy: Cấm User Logon cục bộ.

+ Deny logon through Terminal Services: Cấm User Remote Desktop.

+ Logon localy: Thiết lập người dùng Logon cục bộ.

– Security Optins:

+ Account: Administrator account status: Trạng thái hoạt động của Administrator.

+ Account: Guest account status: Trạng thái hoạt động của User Guest.

+ Account: Limit local account use of blank password to consolo: Đăng nhập không cần password.

+ Account: Rename administrator account: Đổi tên Administrator.

+ Account: Rename guest account: Đổi tên Guest.

+ Devices: Prevent users from installing printer drivers: Không cho phép cài Printer

+ Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM.

+ Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del

+ Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon.

+ Interactive:  Message title for users attempting to log on: Đặt tiêu đề khi logon

+ Interactive: Number of previous logons to cache in cache: Cache kho logon

+ Shutdown: Allow system to be shut down

+ Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon.

+ Shutdown: Clear virtual memory pagefile. Xóa bộ nhớ ảo khi Shutdown.

Administrator Templates -> Windows Components -> Intenet Explorer (IE)

+ Security Zones: Use only machine settings: Bắt buộc tất cả các User đều chung một mức độ Security như nhau.

+ Security Zones: Do not allow users to change policies: Trong Security Zone có danh sách các Site nguy hiểm do người dùng thiết lập, Enable tùy chọn sẽ không co thay đổi danh sách đó (Tốt nhất là giấu thẻ Security).

+ Disable Periodic Check for Internet Explorer software updates: Ngăn không cho IE tự động Update.

Administrator Templates -> System -> Logon

+ Don’t display the Getting Started welcome screen at logon: Ẩn màn hình Welcome khi User đăng nhập vào hệ thống.

 Computer Configuration -> Policies – > Administrative Templates – > System -> Systemstore

+ Turn off System Restore: Tắt System Restore, khi user gọi System Restore thì xuất hiện thông báo “System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator”.

+ Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore.

Phần II: User configuration

 User configuration – >Windows Setting – > Internet Explorer Maintenance – > Browse User Interface.

+ Browser Title: Thay đổi tiêu đề nội dung IE

+ Custom Logo: Thay đổi logo của IE (Chỉ hỗ trợ file BMP có 16-256 màu và kích cỡ 22×22 hoặc 38×38).

+ Browse Toolbar Customizations: Thay đổi Toolbar cho IE.

 User configuration – > Administrator Templates – > Windows Components – > Windows Expolorer

+ Maximum number of recent documents: Quy định số lượng tài liệu đã mở hiển thị trong My Recent Documents.

+ Do not move deleted files to the Recycle Bin: File bị xóa sẽ không được đưa vào Recycle Bin.

+ Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính bằng đơn vị phần trăm dung lượn của ổ đĩa cứng.

+ Removes the Folder Options menu item from the Tools menu. Ẩn Folder Option.

+ Remove Search button from Windows Expolorer. Ẩn Search trong Explorer.

+ Remove Windows Explorer’s default context menu. Ẩn context khi click chuột phải.

+ Hides the manage item the Windows Expolorer context. Ẩn manage khi click chuột phải vào My Computer.

+ Hide these specfied drivers in My Computer. Ẩn ổ đĩa (access qua Addresss).

+ Prevent access to drivers from My Computer. Ngăn truy cập các ổ đĩa.

+ Remove Hardware tab. Ẩn tab Hardware.

+ Remove DFS tab. Ẩn tab DFS.

+ Remove Security tab. Ẩn tab Security.

User configuration – > Administrator Templates – > Windows Components – > Windows Update

+ remove access to use all Windows Update features. Cấm tải các bản cập nhật.

 User configuration – > Administrator Templates – > Windows Components – > Windows Media Player – > Playback

+ Prevent Codec Download: Ngăn không cho Windows Media Player tự động tải các codec.

+ Allow Screen Saver: Cho phép thiếp lập màn hình giao diện Windows Media Player.

 User configuration – > Administrator Templates – > Start Menu and Taskbar

+ Remove Logff on the Start Menu. Ẩn Logff ở Start Menu.

+ Remove and prevent access to the Shut Down command. Ẩn Shut Down.

+ Remove Drag-and-drop context menus on the Start Menu. Cấm Drag Drop (kéo thả)

+ Prevent changes to Taskbar and Start Menu Settings. Không thay đổi các thuộc tính đã thiết lập.

+ Clear history of recently opened documents on exit. Không lưu tập tin trong My Document.

+ Lock the Taskbar. Khóa Taskbar.

+ Remove user name from Start Menu. Không hiển thị tên trên Start Menu.

+ Do not display any custom toolbars in the taskbar. Ẩn toolbars.

 User configuration – > Administrator Templates – > Desktop

+ Hide and disbale all items on the desktop. Ẩn biểu tượng trên Desktop.

+ Remove My Documents icon on the desktop. Ẩn icon My Documents trên desktop.

+ Remove My Computer icon on the desktop. Ẩn icon My Computer trên desktop.

+ Remove Recycle Bin icon on the desktop. Ẩn icon Recycle Bin trên desktop.

+ Don’t save settings at exit. Không thay đổi thiết lập sau khi tắt máy.

Điều khiển đặc quyền tài khoản Administrator

Bạn có thể điều khiển các tài khoản để biết chung có khả năng làm những gì và được phép truy cập những gì ?

Vì sao lại là điều khiển tài khoản Administrator ?

Có rất nhiều lý do cần kiểm soát tài khoản này. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt  ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp.

Giới hạn đặc quyền đăng nhập

Chúng ta không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chưa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp.

Giới hạn khả năng truy cập Administrator cục bộ.

Giảm quyền truy cập mạng

http://www.slideshare.net/laonap166/tm-hiu-group-policy-object-v-cc-v-d

nguồn: http://thonghoang.com/windows-server/tim-hieu-group-policy-object-va-cac-vi-du.html