Đề tài Sử dụng chính sách nhóm trong Windows XP và Windows 2003

cấu hình dịch vụ này ta sử dụng công cụ Terminal Services Configuration trong Administrative Tools, hoặc vào Start/Run gõ tscc.msc. Thoạt trông đây có vẻ giống cấu hình chính sách nhóm, thực tế là không. Tuy nhiên Windows 2003 có rất nhiều thiết lập chính sách và có 1 số được ánh xạ sang bảng điều khiển này. 2, Dịch vụ chọn đường và truy cập từ xa (Routing and Remote Access) Đây là dịch vụ cho phép người dùng kết nối đến Windows Server 2003 sử dụng thông qua Dial-in hay mạng riêng ảo (Virtual Private Network - VPN). Để quy định ai co quyền truy cập thông qua các cổng, Windows Server 2003 đã cung cấp 1 loạt các quy tắc được gọi là Remote Access Policies. Đây là lý do dễ gây nhầm lẫn với chính sách nhóm. E, Tổng kết chương Kết thúc chương 2 chúng ta đã tìm hiểu được những khái niệm cơ bản nhất về chính sách nhóm như thế nào là chính sách nhóm, đối tượng chính sách nhóm, công cụ cấu hình chính sách nhóm. Đi sâu hơn vào các khái niệm bên trong chúng ta còn hiểu được về các thực thể chính sách nhóm được phân thành các node hay các nhánh. Các thực thể này chia thành 2 nửa chính là cấu hình máy tính và cấu hình người dùng. Thành phần nhỏ nhất chính là các thiết lập chính sách nhóm. Để làm rõ hơn về chính sách nhóm chúng ta cũng đã đi qua 2 ví dụ 1 tổng quát và1 cụ thể và có kết quả rõ ràng. Cuối cùng là sự phân biệt đối với những công cụ hay dịch vụ dễ gây lầm tưởng là chính sách nhóm nhưng có chức năng khác hẳn. --------------------------------------------------------------- Chương 3 - Quản lý chính sách nhóm với GPMC Ở chương 2 chúng ta đã xem xét tất cả các khái niệm cơ bản nhất về GPO, các công cụ thiết lập cho GPO. Ở chương này chúng ta sẽ tìm hiểu về một công cụ tổng hợp rất hữu ích dành cho quản lý và thiết lập các GPO. Đó là GPMC. Nắm vững cách sử dụng công cụ này chúng ta sẽ đỡ rất nhiều thời gian trong việc thao tác và xử lý các chính sách. Kết thúc chương này chúng ta sẽ có được các kiến thức sau : Cài đặt GPMC Những chức năng chung của GPMC Bảo mật và phân quyền với GPMC Tính toán RSoP với GPMC Sao lưu và phục hồi các GPO Tìm kiếm GPO với GPMC A, Cài đặt GPMC 1, GPMC là gì ? Bảng điều khiển quản lý chính sách nhóm – Group Policy Management Console (GPMC) là một công cụ dùng để quản lý chính sách nhóm, nó có thể quản lý gần như mọi khía cạnh của các chính sách trong AD hay môi trường cục bộ. 2, Mục tiêu của việc thiết kế và sử dụng GPMC Tại sao chúng ta phải sử dụng GPMC trong khi chúng ta đã có các công cụ được cung cấp sẵn khi cài đặt AD ? Mục đích chính của GPMC là cung cấp một cái nhìn trung tâm nhất đối với chính sách nhóm. GPMC được Microsoft tạo ra với một giao diện hết sức trong sáng và dễ hiểu để quản lý một cách tập trung gần như mọi thứ liên quan đến chính sách trong miền. Microsoft đã phát triển nó vì tương lai của môi trường Active Directory và kèm theo rất nhiều thứ hỗ trợ như White Papers, TechNet Articles, paid phone support, free newsgroup support, Microsoft Official Curriculum. GPMC thực chất cũng là một Snap-in của bảng điều khiển MMC có thể quản lý cơ chế hoạt động đăng sau các chính sách nhóm, giúp chúng ta đào sâu và tiếp cận với những yếu tố được dựng sẵn trong AD. 3, Môi trường hoạt động của GPMC GPMC có thể chạy cả trên máy tính cục bộ và trên miền. Tuy nhiên nó đòi hỏi có .NET Framework và Service Pack 1 được cài đặt sẵn. 4, Cài đặt GPMC trên máy chủ quản trị miền Để có thể cài đặt GPMC bạn phải download bộ cài đặt GPMC từ địa chỉ sau: www.microsoft.com/grouppolicy Sau khi download về bạn sẽ được một tệp tin là GPMC.msi, chạy tệp tin này sẽ hiện trình cài đặt GPMC. Ta có giao diện của GPMC như sau : Khi chúng ta đã chạy GPMC trong hệ thống thì sẽ có kết quả thể hiện ngay : Trong hình trên ta thấy trong cửa sổ Properties của OU Security, tại thẻ Group Policy có liên kết đến GPMC. B, Những thành phần và chức năng chung của GPMC GPMC có thể nói là tổng hợp cả hai công cụ quản lý Domain Policy và Domain Controller Policy và dù là quản lý trên toàn miền, trên 1 OU nào đó hay chỉ riêng máy chủ quản trị miền thì đều xuất hiện 4 thẻ sau : Scope : Cung cấp cho ta một cái nhìn lướt qua về thời gian và địa điểm mà đối tượng chính sách nhóm được thi hành. Details : Chứa các thông tin chi tiết về miền, người tạo ra (sở hữu) GPO, thời gian GPO được tạo ra, thời gian lần cuối cùng GPO được sửa đổi, trạng thái của GPO,… Settings : Cho ta thấy 1 cách tổng quát những gì được thiết lập bên trong 1 GPO Trong hình trên ta thấy có 1 số chính sách đã được thiết lập chẳng hạn như Disabled với Password must meet, Disabled với Store passwords using. Nếu muốn chỉnh sửa một thiết lập nào đó ta chỉ cần kich chuột phải vào vùng thiết lập và chọn Edit, Group Policy Object Editor sẽ xuất hiện. Nếu cần lưu lại bản báo cáo các thiết lập này chỉ cần lích chuột phải vào vùng thiết lập và chọn Save Report. Một bản báo cáo HTML sẽ được tạo ra và bạn có thể gửi mail cho cấp trên. Delegation : Cho phép ta thiết lập bảo mật đối với những người có khả năng thao tác với GPO hay các liên kết. 1, Tăng, giảm độ ưu tiên khi có nhiều GPO Khi trong một site, một miền hay một OU có nhiều GPO được xếp theo thứ tự từ trên xuống dưới, VD : GPO1 : Enforce 50MB Disk Quotas. GPO2 : Enforce 40MB Disk Quotas. GPO nào sẽ được áp dụng ? Các máy trạm khi nhận được nhiều GPO từ phía máy chủ sẽ xử lý các GPO này theo thứ tự từ dưới lên trên. Do đó GPO2 sẽ được xử lý trước, sau đó mới đến GPO1, do đó GPO1 sẽ được áp dụng cho toàn miền hay toàn OU. Như vậy khi có nhiều GPO cùng mức nếu muốn GPO nào sẽ được triển khai trong miền, trong site hay trong OU ta chỉ cần thay đổi lại vị trí thứ tự các GPO. 2, Dừng 1 GPO đang được thi hành Khi một GPO đang được thi hành, nếu vì một lý do nào đó mà phải ngừng thi hành, chẳng hạn do người dùng phàn nàn rằng vì chính sách này mà một số thứ đã chạy không đúng. Khi đó ta sẽ có một số giải pháp để ngừng ngay GPO : a, Vô hiệu hoá “Link Enabled” : Nhấn chuột phải vào GPO cần ngừng lại, bỏ dấu tick ở trạng thái Link Enabled. Trong hình trên ta đã bỏ lựa chọn Link Enabled ở “chính sách bảo mật”. Hành động này sẽ loại bỏ liên kết giữa OU Security và GPO chính sách bảo mật. b, Vô hiệu hoá một nửa (hoặc cả 2 nửa) của GPO Đây chính là cách thứ 2 để dừng thi hành 1 GPO, ta biết 1 GPO có 2 nửa là Computer Configuration và User Configuration. Ta có thể lựa chọn giữa việc vô hiệu hoá 1 trong 2 nửa hoặc cả 2. Việc vô hiệu hoá 1 nửa hoặc cả GPO trong thực tế sẽ làm cho thời gian khởi độngvà đăng nhập nhanh hơn 1 ít, sở dĩ có việc này là do mỗi khi ta thêm một GPO vào hệ thống sẽ mất thêm một khoảng thời gian khi khởi động và đăng nhập để xử lý các chính sách. Microsoft đã gọi điều này là thay đổi chính sách nhóm để tăng hiệu năng. Để thực hiện điều này, từ cửa sổ GPMC, ta nhấn chuột vào GPO muốn điều chỉnh rồi chọn thẻ Details. Hình trên cho chúng ta thấy các lựa chọn để vô hiệu hoá 1 nửa hay toàn bộ GPO. Việc vô hiệu hoá 1 GPO có lợi là nó cho phép ta kích hoạt trở lại hết sức nhanh chóng c, Xoá và tháo liên kết GPO (*) Tháo liên kết GPO Hay còn gọi là xoá liên kết GPO, để làm được điều này ta kích chuột phải vào liên kết GPO (1 liên kết GPO bao giờ cũng có dấu mũi tên góc dưới cùng bên trái). Sau đó chọn Delete : Việc tháo liên kết này sẽ chỉ huỷ bỏ mối liên kết giữa GPO và OU mà thôi chứ không xóa hẳn GPO vì GPO được lưu giữ trong Group Policy Objects Container : (*) Xoá GPO Để xoá một GPO ta kích chuột phải vào một GPO nào đó bên trong Group Policy Objects Container, chọn Delete : Việc xoá một GPO đồng nghĩa với việc xoá hết các liên kết của GPO đó với các OU. Việc xoá một GPO ảnh hưởng rất lớn đến hệ thống do đó phải hết sức cẩn thận và nên sao lưu lại đề phòng xoá nhầm. 3, Ngăn chặn kế thừa Như đã nói từ trước, khi các OU được lồng vào nhau thì OU con sẽ chịu tác động của tất cả các GPO liên kết đến OU cha, ngược lại thì không. Đó được gọi là sự kế thừa GPO. VD như OU là Human Resource và Domain, OU Human Resource sẽ chịu tác động của các GPO từ Default Domain Policy. Sự kế thừa này là mặc định tuy nhiên có những trường hợp mà ta không hề mong muốn OU con chịu sự kế thừa mà hoàn toàn độc lập với các chính sách riêng. Để làm được như vậy ta kích chuột phải vào OU con và chọn Block Inheritance : Nhìn vào hình trên ta thấy OU Human Resource đã bị Block Inheritance và sẽ có hình dấu chấm than ở góc dưới cùng bên trái. 4, Chức năng Enforced Bảo đảm rằng các thiết lập chính sách ở mức cao hơn sẽ luôn được kế thừa bởi mức thấp hơn, bất kể mức tấp hơn đã được thiết lập để chặn kế thừa bởi quản trị viên ở mức thấp hơn. Để làm được điều này, ta chọn một GPO ở OU cha nào đó, kích chuột phải và chọn Enforced từ menu ngữ cảnh hiện ra Sau khi Enforce sẽ xuất hiện biểu tượng khoá ở góc dưới bên trái của GPO. Nhìn vào hình trên ta thấy “Chinh sach nhan su” đã được kích hoạt tính năng Enforced và mặc dù OU Human Resource đã được Block Inheritance nhưng OU Security vẫn chịu tác động của “Chinh sach nhan su”. C, Bảo mật và phân quyền với GPMC 1, Lọc phạm vi của GPO Chúng ta đã biết rằng chính sách nhóm không áp dụng cho một nhóm cụ thể nào cả mà áp dụng cho site, domain hay OU. Do đó để 1 nhóm hay 1 người dùng nào đó chịu tác động của chính sách nhóm thì phải đặt vào 1 OU nào đó. Sau đó ta sẽ cho GPO liên kết đến OU đó. Điều này có nghĩa là toàn OU sẽ chịu tác động của GPO, không có người dùng nào trong OU có đặc quyền hơn những người còn lại. Vấn đề đặt ra là liệu ta có thể áp dụng GPO cho một cá nhân riêng biệt nào đó trong OU không ? Điều này hoàn toàn có thể nếu chúng ta lọc chính sách nhóm (Filter Group Policy). Việc lọc chính sách nhóm này sẽ làm cho việc quản lý chặt chẽ hơn do nó tạo ra các phạm vi quản lý (Scope of Management - SOM) Để lọc chính sách nhóm chúng ta có 2 phương pháp sau : a, Sử dụng “Security Filtering” để lọc ra những người chịu tác động Khi ta liên kết một GPO cho một OU nào đó thì mặc định trong mục Security Filtering tại thẻ Scope chỉ có những người dùng đã được xác thực (Authenticated Users) tức là các thành viên của OU đó : Muốn chỉ một cá nhân nào đó của OU chịu tác động của GPO ta phải loại bỏ Authenticated Users bằng nút Remove và thêm người dùng đó vào bằng nút Add : Như vậy theo hình trên ta thấy được chỉ có tài khoản vinh là chịu tác động của “Chinh sach bao mat” còn các thành viên khác của OU Security thì không. Một điều nữa là khi ta thêm một tài khoản người dùng vào danh sách lọc này thì người dùng đó chỉ có 2 quyền là “read” và “Apply Group Policy” Ta có thể kiểm tra điều này bằng cách nhấn vào nút Advanced : b, Định ra những người không chịu tác động Ở phương pháp 1 ta đã sử dụng Security Filtering để lọc ra những người chịu sự tác động của chính sách nhóm, còn đối với phương pháp này thì lại ngược lại, ta sẽ chỉ ra người nào không chịu sự tác động của chính sách. Thực ra phương pháp này rất đơn giản : Nhìn vào hình trên các bạn thấy mỗi tài khoản người dùng có 2 dạng cấp phép là “Allow” và “Deny”, nếu muốn người dùng có quyền gì ta sử dụng Allow còn ngược lại thì sử dụng Deny. Nếu ta muốn người dùng không chịu tác động của chính sách nhóm chỉ cần chọn Deny ở lựa chọn Apply Group Policy. Để thêm vào các người dùng và bỏ quyền chịu sự tác động của chính sách nhóm ta nhấn vào nút Advanced tại thẻ Delegation. 2, Gán cấp phép cho người dùng đối với một GPO đã tồn tại Một GPO chỉ có thể được chỉnh sửa và thay đổi bởi một trong những tài khoản người dùng sau : Thành viên của nhóm Domain Admins Thành viên của nhóm Enterprise Admins Người đã tạo ra GPO đó. Mặc định là vậy, tuy nhiên ta có thể cấp phép cho một người dùng nào đấy không thuộc một trong ba dạng trên có thể thay đổi GPO bất kỳ. Để thực hiện điều này, tại thẻ Delegation ta nhấn nút Add để thêm một người dùng vào, sẽ có một danh sách các quyền mà người dùng này được cung cấp : Nhìn hình trên ta thấy trong danh sách này có 3 lựa chọn là : Chỉ đọc Chỉnh sửa các thiết lập Chỉnh sửa các thiết lập, xoá, thay đổi bảo mật (Gần như toàn bộ quyền đối với một GPO). 3, Gán quyền tạo GPO trong miền cho người dùng Ta biết rằng chỉ có tài khoản người dùng thuộc nhóm Group Policy Creators Owner mới có quyền tạo ra GPO, người dùng bình thường không thể tạo GPO được. Tuy vậy trong GPMC chúng ta có thể gán quyền tạo GPO cho một người dùng bất kỳ. Để thực hiện điều này, tại khung bên trái của GPMC ta chọn Group Policy Objects. Đây là nơi chứa tất cả các GPO của miền. Phần quản lý chi tiết xuất hiện ở khung bên phải, ta chọn thẻ Delegation, chọn Add để thêm vào tài khoản người dùng mà ta muốn cấp quyền tạo GPO. Bất kỳ người dùng nào xuất hiện trong danh sách này đều có quyền tạo GPO : 4, Các cấp phép đặc biệt đối với Group Policy Ở cấp độ miền và OU chúng ta có ba cấp phép đặc biệt. Để tìm hiểu về 3 cấp phép này ta sẽ lựa chọn một OU bất kỳ từ khung bên trái của GPMC, ta lấy OU Security làm ví dụ. Tại khung bên phải ta chọn thẻ Delegation, tại hộp thả dọc Permission sẽ xuất hiện 3 cấp phép : Link GPOs : Đây là cấp phép duy nhất trong ba cấp phép có thể cấu hình ở cả ba mức site, miền và OU. Ở chương 2 ta có nói đến việc gán quyền điều khiển một OU cho một người dùng bằng công cụ “Active Directory Users and Computers”, “Link GPOs” trong GPMC chính là sự thay thế cho “Delegate Control”. Perform Group Policy Modeling analyses : Có cùng chức năng như “Delegation of Control” trong Active Directory Users and Computers khi gán cấp phép “Generate RSoP (Planning)”. Mặc định, chỉ có các thành viên của nhóm Domain Admins là có quyền thực hiện chức năng này, thành viên nhóm Domain Admins cũng có thể cho phép người dùng khác quyền thực hiện chức năng này. Read Group Policy Results Data : Có cùng chức năng như “Delegation of Control” trong Active Directory Users and Computers khi gán cấp phép “Generate RSoP (Logging)”. 5, Cấp phép tạo và sử dụng các bộ lọc WMI a, Cấp phép cho người dùng tạo bộ lọc WMI Mặc định, chỉ có Domain Administrator có khả năng tạo bộ lọc WMI và Domain Administrator có khả năng cấp cho 1 số tài khoản đặc biệt quyền tạo bộ lọc WMI. Nếu bạn là Domain Administrator, để gán quyền tạo bộ lọc WMI cho một người dùng nào đó, đầu tiên chọn WMI Filters tại khung bên phải của GPMC, khung điều khiển xuất hiện bên phải, chọn thẻ Delegation, thêm người dùng vào bằng cách nhấn nút Add : Ta thấy người dùng có hai lựa chọn để phân quyền : Creator owner : chỉ có thể tạo và sửa đổi bộ lọc do mình tạo ra. Full control : có thể tạo và sửa đổi cả các bộ lọc của người dùng khác. b, Cấp cho người dùng quyền sử dụng bộ lọc WMI Giả sử ta đã có một bộ lọc tên là “Bo loc 1”, để gán quyền cho một người dùng nào đó sử dụng bộ lọc này, tại khung bên trái của GPMC chọn bộ lọc, khung bên phải sẽ xuất hiện chi tiết về người sử dụng bộ lọc tại thẻ Delegation. Muốn thêm người sử dụng vào ta nhấn vào nút Add : Ta thấy người dùng cũng có 2 lựa chọn để phân quyền : Edit : Có thể chỉnh sửa bộ lọc Full Control : Ngoài khả năng chỉnh sửa bộ lọc còn có thể xoá hay tác động đến bảo mật. D, Thực hiện tính toán RSoP với GPMC Resultant Set of Policies - RSoP như đã đề cập ở phần cơ bản trong chương 2, là tập hợp các chính sách đã được cấu hình trong 1 GPO, nó được thể hiện dưới dạng cây như bất kỳ GPO nào nhưng chỉ có các chính sách đã được cấu hình là xuất hiện mà thôi. GPMC có một tính năng giúp chỉ rõ cho chúng ta tất cả các GPO đang áp dụng cho người dùng và máy tính ở cùng một cấp độ trong AD. Ví dụ khi ta chọn OU Security, tại thẻ Group Policy Inheritance sẽ xuất hiện tất cả các GPO đang áp dụng cho OU này : Việc áp dụng các GPO trong mạng đôi khi gây ra những vấn đề không mong muốn ở người dùng khi sử dụng máy trạm, nhất là khi phải chịu tác động từ nhiều GPO. Thẻ Group Policy Inheritance cho chúng ta biết có những GPO nào đang tác động lên một OU tuy nhiên việc tìm ra nguyên nhân tạo nên những vấn đề ở máy trạm không thể chỉ dừng tại đây mà biết được. Việc thực hiện tính toán RSoP sẽ giúp chúng ta biết được những gì đang diễn ra dưới tác dụng của các chính sách. 1, Sử dụng Group Policy Results Sử dụng công cụ này bạn có thể dễ dàng tạo ra một danh sách những chính sách tác động lên một OU tại một máy trạm nào đó nào đó bởi các GPO. Để xem kết quả, bạn nhấn chuột phải vào mục Group Policy Results (GPR) cảu GPMC và chọn Group Policy Results Wizard. Tại trình cài đặt báo cáo này, bạn có thể lựa chọn báo cáo của máy chủ hiện tại hay bất kỳ máy tính nào trong mạng, và tại máy được lựa chọn sẽ có các tài khoản người dùng đã từng đăng nhập để lựa chọn tiếp. Lưu ý : Nếu là máy tính khác được lựa chọn thì máy đó phải đang chạy và đang nối mạng. Máy tính đó phải từng được người dùng đăng nhập. Nếu máy tính đó là Windows XP SP2/ Windows 2003 SP1 thì tường lửa phải vô hiệu hoá trước khi cài đặt báo cáo. Dịch vụ WMI (Windows Management Instrumentation) phải được khởi động. Hình trên là một VD về báo cáo kết quả kiểm tra chính sách nhóm tại máy trạm client01 thuộc miền sparrow.com và tài khoản người dùng là vinh. Thẻ Summary cho ta biết các GPO đang được áp dụng, thẻ Settings nêu lên các chính sách trong GPO chiến thắng (Khi có xung đột giữa các GPO) được thi hành. Còn thẻ Policy Events nêu lên các sự kiện gắn với Group Policy do Event Viewer của máy trạm ghi lại. Để lưu trữ báo cáo ta nhấn chuột phải vào báo cáo đó và chọn Save Report. 2, Sử dụng Group Policy Modeling Khi có một người dùng gặp rắc rối gây ra bởi các GPO thì có thể giải quyết bằng cách sử dụng công cụ Group Policy Results ở trên. Tuy nhiên nếu ta muốn lên một kế hoạch cho các sự việc xảy ra trong tương lai chẳng hạn xác định điều gì sẽ xảy ra cho người dùng trong OU Human Resource cho một GPO không mong muốn liên kết đến OU này thì sao. Điều này hoàn toàn có thể làm được với công cụ Group Policy Modeling (GPM). Để sử dụng công cụ này ta nhấn chuột phải vào Group Policy Modeling trong GPMC và chọn Group Policy Modeling Wizard. Khi bạn chạy trình cài đặt sẽ được lựa chọn máy chủ Domain Controller, OU cần báo cáo về cấu hình máy tính, cấu hình người dùng, lựa chọn nhóm bảo mật người dùng, nhóm bảo mật máy tính,… Hình trên là một VD về Group Policy Modeling áp dụng cho OU Security. Để lưu lại ta cũng sử dụng chức năng Save Report. Khác với GPR, ở GPM có thẻ Query cho ta biết những lựa chọn khi ta cài đặt trình báo cáo. Một điểm cần lưu ý là đôi khi ta sẽ thu được những kết quả không mong muốn nếu mô hình đưa ra có những điều bất khả thi như điều gì sẽ xảy ra nếu tài khoản Giang bị di chuyển sang miền khác trong khi thực tế tài khoản này không thể bị di chuyển. E, Sao lưu và phục hồi các GPO Hãy tưởng tượng điều gì sẽ xảy ra nếu ta lỡ tay xoá nhầm một hay nhiều GPO, điều này sẽ ảnh hưởng hết sức nghiêm trọng đến hệ thống vì người dùng bình thường có thể gây ra những điều tồi tệ mà bình thường họ không thể làm được trong khi những quản trị mạng thì chưa thể hoặc không thể tạo lại các chính sách như nguyên bản ban đầu. Vậy đâu là giải pháp để đề phòng giả thuyết trên, đó là sao lưu GPO. 1, Sao lưu GPO Khi ta sao lưu một GPO là đồng thời đã sao lưu rất nhiều dữ liệu quan trọng như các thiết lập trong GPO đó, các cấp phép đối với GPO đó (được thực hiện trong thẻ Delegation), các liên kết đến bộ lọc WMI. Tuy vậ có một số thứ mà ta không thể sao lưu được, đó là các bộ lọc WMI độc lập với GPO nên phải sao lưu riêng, các thiết lập IPSec chỉ có thể sao lưu khi ta sao lưu AD, các liên kết của GPO đó cũng không thể sao lưu được. Mỗi GPO có hai phần là Group Policy Template (GPT) trong AD và Group Policy Container (GPC) trong SYSVOL. Khi ta thực hiện sao lưu, cả hai phần này được gộp lại thành một tập hợp file để có thể lưu trữ. Để sao lưu ta nhấn chuột phải vào GPO và chọn Back Up : Hình trên là một VD khi ta thực hiện sao lưu GPO “Chinh sach bao mat”. 2, Phục hồi GPO Tất nhiên chúng ta chỉ phục hồi GPO khi đã sao lưu nó. Khi phục hồi một GPO, các file mà ta tạo ra trong quá trình sao lưu sẽ được mở ra và đặt lại vị trí trên AD. Chúng ta sẽ thu được các thành phần sau : Các thiết lập trước đây, GUID, các cấp phép bảo mật, liên kết với các bộ lọc WMI. Để thực hiện phục hồi, ta nhấn chuột phải vào Group Policy Objects trong GPMC và chọn Manage Backups. Danh sách các GPO đã sao lưu sẽ hiện ra, ta có thể xem các thiết lập của GPO trước kia bằng cách nhấn View Settings, còn để phục hồi ngay chọn Restore. Quá trình hồi phục sẽ được bắt đầu. F, Tìm kiếm GPO Phần cuối cùng trong chương này là tìm kiếm một GPO trong miền. Khi trong miền của chúng ta có nhiều GPO thì việc nhớ chức năng của từng GPO đó không hè đơn giản chút nào. Do đó GPMC đã cung cấp một vài chức năng tìm kiếm cơ bản. Ta có thể tìm kiếm dựa trên những tiêu chí sau : Tên hiển thị, GUID, cấp phép đối với GPO đó, liên kết nếu tồn tại, bộ lọc WMI được sử dụng. Để tìm kiếm, nhấn chuột phải vào tên miền và chọn Search. Cửa sổ tìm kiếm sẽ xuất hiện : Việc còn lại là nhập thông tin và bắt đầu tìm. G, Tổng kết chương Kết thúc chương 3, chúng ta đã nắm được những thành phần và chức năng của GPMC – công cụ quản lý chính sách nhóm. Từ những chức năng cơ bản nhất đến những chức năng nâng cao như thực hiện bảo mật và phân quyền, tạo các báo cáo RSoP, sao lưu và phục hồi GPO với GPMC. Qua việc sử dụng công cụ này chúng ta thấy rằng GPMC là một công cụ quản lý hết sức tuyệt vời khi triển khai chính sách nhóm trong mạng nội bộ, nếu không có nó việc quản lý các GPO trong một mạng sẽ rất rời rạc và khó thống nhất, chưa kể đến những công việc như sao lưu đề phòng. Tuy hiện giờ GPMC chưa là một bộ phận của hệ điều hành Windows Server nhưng với sự tiện dụng và cần thiết của nó, trong tương lai nó sẽ được tích hợp và chúng ta cũng hy vọng như thế. ----------------------------------------------------------- Chương 4 - Xử lý lỗi và sự cố chính sách nhóm Chính sách nhóm là một công cụ rất tốt để thi hành sự kiểm soát đối với người dùng trên mạng. Thật tuyệt vời khi tưởng tượng mình đứng trên cao và ban hành các chính sách cho người dùng bên dưới. Điều này là hiển nhiên khi các chính sách vận hành trơn tru với người dùng và máy tính người dùng. Tuy nhiên thực tế không phải như tưởng tượng, các sự cố do chính sách nhóm gây ra là điều chắc chắn xảy ra. Rất khó có thể xác định được một thiết lập chính sách đến từ đâu và nó được áp dụng thế nào hoặc khi chính sách nhóm không hoạt động thì nguyên nhân là gì. Do đó trong chương này chúng ta sẽ xem xét tìm hiểu các sự cố chính sách nhóm cũng như cách khắc phục. Kết thúc chương này chúng ta A, Vòng đời của GPO Vòng đời của GPO cũng có ba giai đoạn như con người, đó là sinh ra, tồn tại và chết. Chúng ta sẽ đi nghiên cứu từng giai đoạn một. 1, GPO được sinh ra như thế nào ? Trước khi có thể tạo ra một GPO chúng ta phải có quyền làm việc đó. Có hai cách, thứ nhất ta phải là thành viên của nhóm Group Policy Creator Owners và thứ hai là được cấp phép tạo GPO thông qua GPMC. Khi đã có quyền tạo GPOm chúng ta có thể tạo bằng bảng điều khiển MMC hoặc nhấn chuột phải vào mục Group Policy Objects trong GPMC và chọn New. Sau khi tạo xong, một GPO đã chính thức được “sinh ra”. Đồng thời với GPO, có 4 thứ khác cũng được tạo ra : Group Policy Container (GPC) : Trong thư mục “Policies” của cơ sở dữ kiệu AD. Group Policy Template (GPT) : Trong thư mục SYSVOL, đây là nơi chứa các file thực tế của GPO và nó được đồng bộ đến tất cả các máy chủ quản trị miền. Liên kết : Khi GPO được tạo ra nó sẽ tự động liên kết với mức mà bạn đang sử dụng (site, miền, OU). GUID (GPO Unique Identifier) : Một định danh duy nhất được gán với mỗi GPO. Như vậy mỗi GPO được tạo ra sẽ bao gồm hai phần là GPC và GPT, hai thành phần này được chia ra ở hai nơi trong máy chủ quản trị miền. 2, GPO tồn tại như thế nào ? Ở phần trên chúng ta đã biết rằng GPO có hai thành phần là GPC và GPT, để nghiên cứu về sự tồn tại của GPO chúng ta sẽ phải đi chi tiết về hai thành phần này a, Group Policy Container Nằm trong AD, nó giữ rất nhiều thuộc tính của Group Policy như phiên bản, thông tin trạng thái, các thiết lập chính sách. Mỗi GPC có một tên được định dạng duy nhất đó là GUID. Chúng ta có thể xem chi tiết về GPC của một GPO trong bảng điều khiển “Active Directory Users and Computers” như sau : Từ bảng điều khiển vào View, chọn Advanced Features, thư mục chứa tất cả các GPO sẽ hiện ra chi tiết : Ta thấy ngoài các thư mục như mặc định ban đầu ra, có thêm bốn thư mục nữa là LostAndFound, NTDS Quotas, Program Data, System. Nếu mở rông thư mục System ra ta sẽ thấy thư mục này chứa tất cả các GPC trong AD. Nhìn vào hình trên ta thấy trong thư mục Policies có tất cả 6 GPC, như vậy trong AD hiện thời có 6 GPO. Mỗi GPC có một số thuộc tính sau : Common Name (CN) : Là một dãy các ký tự dùng để gán tên cho một đối tượng. Tên của GPC sử dụng định dạng GUID để bảo đảm tính duy nhất trong toàn rừng. VD : CN = 13BB1952-B3FE-444B-8D66-3E784C35B9D0 Distinguished Name (DN) : Đây là phần mở rộng từ Common Name, chứa đường dẫn đến đối tượng chính trong cây thư mục LDAP. VD : CN = 13BB1952-B3FE-444B-8D66-3E784C35B9D0, CN = policies, CN = system, DC = sparrow, DC = com Display name : Tên của GPO do chúng ta đặt ra, chẳng hạn “Chinh sach bao mat” Version : Tác dụng như một bộ đếm