H ng d n kh c ph c s c trong Group Policy ướ
Microsoft Active Directory đã tr thành m t thành ph n không th thi u c a r t nhi u ế
h th ng IT trên th gi i. M t thành ph n quan tr ng nh t trong Active Directory là ế
Group Policy, cho phép ng i qu n tr t p trung qu n lý các domain controllers, cácườ
máy ch , các máy cá nhân.
Trong khi Group Policy cung c p r t nhi u tác d ng, nh ng nó có m t ph n nh ho t ư
đ ng ch a th c s tr n tru. Nó có th r t ph c t p t thi t k t i tri n khai trong m t ư ơ ế ế
t ch c l n và đi u đó s s y ra r t nhi u r c r i c n ph i gi i quy t mà đôi khi vài ế
th tr thành nh ng đi u không mong mu n. Trong bài vi t này, tôi s gi i thi u v i ế
các b n c u trúc c a Group Policy và cách b n gi i quy t nh ng s c th ng g p. ế ườ
K t thúc b n s có t t c nh ng đi u t ng quan đ t đó t o ra nh ng Group Policyế
h p lý cho môi tr ng c a b n. ườ
Trouble some Settings - Gi i quy t vài s c v thi t l p c u hình ế ế
Có nhi u v n đ v i Group Policy, đ c bi t nh t là liên quan t i giao đi n cách nào
vi c v i Active Directory và vi c thi t k tri n khai nó. Khi b n gi i quy t nh ng ế ế ế
s c nhi u d ng v truy c p và m ng đ c s d ng, b n ph i luôn luôn làm vi c ượ
v i Active Directory và c b n v cách tri n khai Group Policy trong quá trình nghiên ơ
c u và gi i quy t v n đ đó. Đ b t đ u gi i quy t s c , tr c tiên b n ph i tìm ế ế ướ
ki m các thi t l p Group Policy có thi t thi t l p sai, sau đó khi b n ki m tra h t ph nế ế ế ế ế
này đ n ph n khác r i b n tr lên ph c t p v n đ và đi u này d n t i vi c h ng hócế
trong các chính sách trong Group Policy.
Các thi t l p Group Policy đ c xem l i b i ng i qu n tr Active Directory s d ngế ượ ườ
các Administrative Template Files (ADM hay ADMX file) và Group Policy Object
Editor, hay GPEdit (v i câu l nh này nó s ch y file gpedit.msc). S d ng GPEDit,
ng i qu n tr có th t o ra các file Group Policy Object hay GPOs. GPOs đ c c uườ ượ
hình và áp d ng ho c không đ c áp d ng (not apply) cho các máy tính hay các ng i ượ ườ
dùng (computers or users) t i các v trí trong c u trúc c a Active Directory. S có m t
s l ng các GPOs đ c áp d ng theo th t t trên xu ng v i m i thành ph n đ c ượ ượ ượ
l a ch n.
GPO Must Be Linked.
Khi GOP đ c t o ra, nó có th không đ c liên k t t i các vùng trong Activeượ ượ ế
Directory. Trong tr ng h p GPO đ c ch nh s a l i, nó s không áp d ng v i các đ iườ ượ
t ng cho đ n khi đ c liên k t t i vùng đó. B n c n ph i ch c ch n răng GPO đ cượ ế ượ ế ượ
t o ra và liên k t đúng vào nh ng đ i t ng c n áp d ng chính sách qu n lý đó. B n ế ượ
có th xem các thông tin đó trong Group Policy Management Console (GPMC) đ c ượ
hi n th d i hình sau đây: ướ
Hình 1 GPO Links Are Clearly Shown
GPO Must Target Correct Object.
Nh b n đã bi t, Group Policy ph i đ c liên k t v i đúng nh ng đ i t ng c n thi tư ế ượ ế ượ ế
trong Active Directory. Tuy hiên, đôi khi trong nh ng l n gi i quy t s c v i m t ế
GOP, có hai v n đ b n c n ph i quan tâm đó là computer và user. Khi b n c u hình
m t GPO, ph i ch c ch n m t đi u là nó s đ c áp d ng cho computer hay user. Sau ượ
khi b n ki m tra đúng các đ i t ng c n áp d ng trong m t OU thì b n th c hi n liên ượ
k t GPO đó t i OU c n thi t.GPOs Don't Apply to Groupsế ế
M t v n đ b n c n ph i bi t là, m t GPO không th áp d ng cho m t Security ế
Group trong Active Directory. Ch hai đ i t ng mà GPO có th áp d ng là ượ
Computers và Users. B n không th c y hình GPO qua các đ i t ng là thành viên ượ
trong nhóm. Ví d : N u m t GPO liên k t t i m t OU là Finance, hi n th v i hình ế ế
d i đây, thì ch hai đ i t ng s b nh h ng b i các thi t l p là Derek và Frank.ướ ượ ưở ế
Các thi t l p s không nh h ng t i các thành viên khác thu c group Marketing,ế ưở
nh ng ng i không n m trong OU này. ườ
Hình 2 Finance OU and the Objects Within It
Target Object Must Be in the Path of the GPO.
Khi b n quan tâm t i s nh h ng c a GPO t i m t đ i t ng, m t v n đ quan ưở ượ
tr ng h n n a là ph i quan tâm t i m c đ nh h ng Scope of Management (SOM) ơ ưở
c a GPO. Có nghĩa là m t đ i t ng mu n ch u s nh h ng c a GPO thì nó ph i ượ ưở
n m trong OU mà GPO liên k t t i. Trong ví d d i đây khi không có m t đ i t ng ế ướ ượ
nào trong OU Marketing thì nó s ch u nh h ng b i m t GPO liên k t t i OU ưở ế
Finance, đ c hi n th hình d i. S nh h ng c a m t GPO tính t vùng nó liên k tượ ướ ưở ế
t i (node where it linked) t i các OU đ ng sau nó trong c u trúc c a Active Directory
nh ng các OU b nh h ng ch cùng m t Level mà thôi.ư ưở
GPO Needs To Be Enabled.
Khi m t GPO đ c t o ra, nó s không c u hình cho t i khi b t kỳ s thay đ i nào t i ượ
nh ng đ i t ng trong nó. Tuy nhiên, nó có thi t l p cho c Computer và User. Khi ượ ế
b n gi i quy t s c v i nh ng GPO không áp d ng b n ph i xem xem GPO đó có b ế
Disable v n đ nào không, và b n có th s d ng Group Policy Object|Account Policy
trong GPMC và ki m tr tr ng thái c a GPO.Some Settings Need a Reboot
Khi m t GPO đ c thi t l p mà không ho t đ ng, nó có th do chúng k th a t ượ ế ế
nh ng GPOs khác. Và đi u đó nh ng thi t l p đó có th s không ho t đ ng cho đ n ế ế
l n kh i đ ng sau, ho c khi user logs off và log in tr l i.
Synchronous and Asynchronous Application of Settings.
M t v n đ khác mà khi b n gi i quy t s c c n ph i quan tâm đó là đ ng b hay ế
không đ ng b các thi t l p c a mình. V i m t GPO b n có th c u hình áp d ng ế
chính sách khi kh i đ ng và khi ng i dùng logon h th ng. S thay đ i đó s t o ra ườ
tính năng b t bu c ng i dùng đ c cung c p các thi t l p, và ch c ch n m t đi u ườ ượ ế
r ng toàn b các chính sách đ c áp d ng tr c khi user truy c p vào desktop. V i các ượ ướ
thi t l p m c đ nh các h đi u hành có th không đ c cung ng.ế ượ
When OUs Are at the Same Level, GPOs Only Apply to the OU Where It Is Linked
Operating System: Windows 2000
Startup: Synchronously
Logon: Synchronously
Policy Refresh: Asynchronously
Operating System: Windows XP Professional
Startup: Asynchronously
Logon:Asynchronously
Policy Refresh: Asynchronously
Operating System: Windows Server 2003
Startup: Synchronously
Logon:Synchronously
Policy Refresh: Asynchronously
v i thi t l p sau toàn b h th ng s luôn đ ng b các chính sách đ c thi t l p ế ượ ế
computer configuration | administrative templates |
System | Logon | Always wait for the network at computer startup and logon
H u h t các nhà qu n tr đ u l a ch n vi c đ ng b cho các chính sách đã đ c thi t ế ượ ế
l p và đi u đó ch c ch n m t đi u r ng toàn b các chính sách đó s đ c áp d ng ượ
tr c khi ng i dùng truy c p vào h th ng. T t c các thi t l p b o m t cũng đ cướ ườ ế ượ
áp d ng cho ng i dùng. Chú ý m t đi u r ng Windows XP Professional, luôn c u ườ
hình đ t i u cho t c đ logon vào h th ng. ư
Thay đ i ki u k th a m c đ nh ế
Có b n cách khác nhau có th s d ng đ thay đ i cách k th a t m c đ nh c a m t ế
ti n trình c a GPO. V i nh ng tuỳ ch n mang đ n hi u qu áp d ng cho nhi u cáchế ế
khác nhau. Nó có th t o ra đi u ki n vô cùng khó khăn trong vi c gi i quy t nh ng ế
s c liên quan. V i tuỳ ch n có th thay đ i m c đ nh bao g m 4 thi t l p sau: ế
Block policy inheritance
GPO enforcement
GPO filtering of the access control list (ACL)
Windows Management Instrumentation (WMI) Filters
Handy Tools – các công c
Có r t nhi u công c giúp b n gi i quy t nh ng v n đ trong Group Policy. Có vài ế