Microsoft Active Directory đã trở thành một thành phần không thể thiếu của rất nhiều hệ thống IT trên thế giới. Một thành phần quan trọng nhất trong Active Directory là Group Policy, cho phép người quản trị tập trung quản lý các domain controllers, các máy chủ, các máy cá nhân.
Trong khi Group Policy cung cấp rất nhiều tác dụng, nhưng nó có một phần nhỏ hoạt động chưa thực sự trơn tru. Nó có thể rất phức tạp từ thiết kế tới triển khai trong một tổ chức lớn và điều đó sẽ sảy ra rất nhiều rắc rối cần phải giải quyết mà đôi khi vài thứ trở thành những điều không mong muốn. Trong bài viết này, tôi sẽ giới thiệu với các bạn cấu trúc của Group Policy và cách bạn giải quyết những sự cố thường gặp. Kết thúc bạn sẽ có tất cả những điều tổng quan để từ đó tạo ra những Group Policy hợp lý cho môi trường của bạn.
Trouble some Settings - Giải quyết vài sự cố về thiết lập cấu hình
Có nhiều vấn đề với Group Policy, đặc biệt nhất là liên quan tới giao điện cách nào việc với Active Directory và việc thiết kế và triển khai nó. Khi bạn giải quyết những sự cố nhiều dạng về truy cập và mạng được sự dụng, bạn phải luôn luôn làm việc với Active Directory và cơ bản về cách triển khai Group Policy trong quá trình nghiên cứu và giải quyết vấn đề đó. Để bắt đầu giải quyết sự cố, trước tiên bạn phải tìm kiếm các thiết lập Group Policy có thiết thiết lập sai, sau đó khi bạn kiểm tra hết phần này đến phần khác rồi bạn trở lên phức tạp vấn đề và điều này dẫn tới việc hỏng hóc trong các chính sách trong Group Policy.
Các thiết lập Group Policy được xem lại bởi người quản trị Active Directory sử dụng các Administrative Template Files (ADM hay ADMX file) và Group Policy Object Editor, hay GPEdit (với câu lệnh này nó sẽ chạy file gpedit.msc). Sử dụng GPEDit, người quản trị có thể tạo ra các file Group Policy Object hay GPOs. GPOs được cấu hình và áp dụng hoặc không được áp dụng (not apply) cho các máy tính hay các người dùng (computers or users) tại các vị trí trong cấu trúc của Active Directory. Sẽ có một số lượng các GPOs được áp dụng theo thứ tự từ trên xuống với mỗi thành phần được lựa chọn.
GPO Must Be Linked.
Khi GOP được tạo ra, nó có thể không được liên kết tới các vùng trong Active Directory. Trong trường hợp GPO được chỉnh sửa lại, nó sẽ không áp dụng với các đối tượng cho đến khi được liên kết tới vùng đó. Bạn cần phải chắc chắn răng GPO được tạo ra và liên kết đúng vào những đối tượng cần áp dụng chính sách quản lý đó. Bạn có thể xem các thông tin đó trong Group Policy Management Console (GPMC) được hiển thị dưới hình sau đây:
Hình 1 GPO Links Are Clearly Shown
GPO Must Target Correct Object.
Như bạn đã biết, Group Policy phải được liên kết với đúng những đối tượng cần thiết trong Active Directory. Tuy hiên, đôi khi trong những lần giải quyết sự cố với một GOP, có hai vấn đề bạn cần phải quan tâm đó là computer và user. Khi bạn cấu hình một GPO, phải chắc chắn một điều là nó sẽ được áp dụng cho computer hay user. Sau khi bạn kiểm tra đúng các đối tượng cần áp dụng trong một OU thì bạn thực hiện liên kết GPO đó tới OU cần thiết.GPOs Don't Apply to Groups
Một vấn đề mà bạn cần phải biết là, một GPO không thể áp dụng cho một Security Group trong Active Directory. Chỉ có hai đối tượng mà GPO có thể áp dụng là Computers và Users. Bạn không thể cấy hình GPO qua các đối tượng là thành viên trong nhóm. Ví dụ: Nếu một GPO liên kết tới một OU là Finance, hiển thị với hình dưới đây, thì chỉ hai đối tượng sẽ bị ảnh hưởng bởi các thiết lập là Derek và Frank. Các thiết lập sẽ không ảnh hưởng tới các thành viên khác thuộc group Marketing, những người không nằm trong OU này.
Hình 2 Finance OU and the Objects Within It
Target Object Must Be in the Path of the GPO.
Khi bạn quan tâm tới sự ảnh hưởng của GPO tới một đối tượng, một vấn đề quan trọng hơn nữa là phải quan tâm tới mức độ ảnh hưởng Scope of Management (SOM) của GPO. Có nghĩa là một đối tượng muốn chịu sự ảnh hưởng của GPO thì nó phải nằm trong OU mà GPO liên kết tới. Trong ví dụ dưới đây khi không có một đối tượng nào trong OU Marketing thì nó sẽ chịu ảnh hưởng bởi một GPO liên kết tới OU Finance, được hiển thị hình dưới. Sự ảnh hưởng của một GPO tính từ vùng nó liên kết tới (node where it linked) tới các OU đứng sau nó trong cấu trúc của Active Directory nhưng các OU bị ảnh hưởng chỉ cùng một Level mà thôi.
GPO Needs To Be Enabled.
Khi một GPO được tạo ra, nó sẽ không cấu hình cho tới khi bất kỳ sự thay đổi nào tới những đối tượng trong nó. Tuy nhiên, nó có thiết lập cho cả Computer và User. Khi bạn giải quyết sự cố với những GPO không áp dụng bạn phải xem xem GPO đó có bị Disable vấn đề nào không, và bạn có thể sử dụng Group Policy Object|Account Policy trong GPMC và kiểm trả trạng thái của GPO.Some Settings Need a Reboot
Khi một GPO được thiết lập mà không hoạt động, nó có thể là do chúng kế thừa từ những GPOs khác. Và điều đó những thiết lập đó có thể sẽ không hoạt động cho đến lần khởi động sau, hoặc khi user logs off và log in trở lại.
Synchronous and Asynchronous Application of Settings.
Một vấn đề khác mà khi bạn giải quyết sự cố cần phải quan tâm đó là đồng bộ hay không đồng bộ các thiết lập của mình. Với một GPO bạn có thể cấu hình áp dụng chính sách khi khởi động và khi người dùng logon hệ thống. Sự thay đổi đó sẽ tạo ra tính năng bắt buộc người dùng được cung cấp các thiết lập, và chắc chắn một điều rằng toàn bộ các chính sách được áp dụng trước khi user truy cập vào desktop. Với các thiết lập mặc định các hệ điều hành có thể không được cung ứng.
When OUs Are at the Same Level, GPOs Only Apply to the OU Where It Is Linked
Operating System
|
Startup
|
Logon
|
Policy Refresh
|
Windows 2000
|
Synchronously
|
Synchronously
|
Asynchronously
|
Windows XP Professional
|
Asynchronously
|
Asynchronously
|
Asynchronously
|
Windows Server 2003
|
Synchronously
|
Synchronously
|
Asynchronously
|
với thiết lập sau toàn bộ hệ thống sẽ luôn đồng bộ các chính sách được thiết lập
computer configuration | administrative templates |
System | Logon | Always wait for the network at computer startup and logon
Hầu hết các nhà quản trị đều lựa chọn việc đồng bộ cho các chính sách đã được thiết lập và điều đó chắc chắn một điều rằng toàn bộ các chính sách đó sẽ được áp dụng trước khi người dùng truy cập vào hệ thống. Tất cả các thiết lập bảo mật cũng được áp dụng cho người dùng. Chú ý một điều rằng Windows XP Professional, luôn cấu hình để tối ưu cho tốc độ logon vào hệ thống.
Thay đổi kiểu kế thừa mặc định
Có bốn cách khác nhau có thể sử dụng để thay đổi cách kế thừa từ mặc định của một tiến trình của GPO. Với những tuỳ chọn mang đến hiệu quả áp dụng cho nhiều cách khác nhau. Nó có thể tạo ra điều kiện vô cùng khó khăn trong việc giải quyết những sự cố liên quan. Với tuỳ chọn có thể thay đổi mặc định bao gồm 4 thiết lập sau:
Block policy inheritance
GPO enforcement
GPO filtering of the access control list (ACL)
Windows Management Instrumentation (WMI) Filters
Handy Tools – các công cụ
Có rất nhiều công cụ giúp bạn giải quyết những vấn đề trong Group Policy. Có vài công cụ được xây dựng có sẵn trong hệ điều hành và một số có thể download về cài đặt và sử dụng. Dưới đây là một vài công cụ bạn có thể sử dụng để làm những công cụ giải quyết những vẫn đề liên quan tới Group Policy.
Dcgpofix: Làm việc trực tiếp với hai GPOs mặc định là Default Domain Policy và Default Domain Controllers Policy.
Recreatedefpol: Công cụ tương tự như Dcgpofix làm việc hỗ trợ trên Windows 2000 Server.
Gpresult: hoạt động từ máy locally cung cấp các thông tin về Resultant Set of Policies, Block GPOs.
Gpupdate: refresh toàn bộ các GPO được thiết lập.
Gpotool: hoạt động trên các DC và khi một GPO thay đổi trên một DC này sẽ thực hiện sự thay đổi và lưu lại quá trình đó trên các DC khác.
Không có nhận xét nào:
Đăng nhận xét