Sự phình lên của mẫu ADM
Để hiểu về sự phình lên của mẫu ADM, bạn phải hiểu cách GPO được lưu
như thế nào. Mỗi GPO được chia nhỏ thành hai phần và mỗi một phần được
lưu trong một vị trí khác nhau trên các bộ điều khiển miền.
Phần có tên Group Policy Container (GPC), được lưu như một đối tượng
trong Active Directory. Vai trò chính của phần này đối với GPO là giữ tất cả
các liên kết, vị trí và đường dẫn về các mặc khác của GPO một cách tinh tế.
GPC không có bất kỳ một thiết lập nào hoặc mẫu nào.
10 trang |
Chia sẻ: maiphuongdc | Lượt xem: 1957 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Kho chứa ADM Template, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Kho chứa ADM Template
Nếu bạn đã từng làm việc với Active Directory thì có lẽ đã biết về Group
Policy. Một trong những thành phần chính của Group Policy Object là
điều khiển trên Registry. Registry điều khiển bên trong Group Policy
này được quản lý chính bởi cả các mẫu quản trị. Các mẫu quản trị này
có rất nhiều lợi ích, tuy nhiên chúng cũng có một số nhược điểm.
Một trong những nhược điểm có thể gây ra các vấn đề liên quan đến việc
điều khiển sự quản lý các mẫu khi các phiên bản mới xuất hiện. Tuy nhiên
có một giải pháp không những chỉ giải quyết được vấn đề này mà còn nhiều
vấn đề khác xung quanh các mẫu này. Ở đây, bạn sẽ thấy một giải pháp -
giải pháp kho chứa - có thể giải quyết được nhiều vấn đề có liên quan tới các
mẫu quản trị.
Những cơ bản về các mẫu quản trị
Các mẫu quản trị là các file văn bản có mã đơn giản để giúp Group Policy có
thể thực hiện một số thay đổi Registry tùy chỉnh. Các mẫu này được chứa
trong file có đuôi .ADM, đó cũng là lý do giải thích cho việc các file có đuôi
này xuất hiện ở đây. Chúng thực sự cần thiết đối với Group Policy vì chúng
có thể thực hiện hai chức năng khác nhau.
Chức năng đầu tiên mà mẫu ADM thực hiện là tạo các chính sách và thiết
lập bên trong Group Policy Object Editor. Tất cả các thiết lập được tạo từ
mẫu ADM được thể hiện dưới các nút Administrative Templates, bạn có thể
xem trong hình một để có thể thấy rõ hơn điều này.
Hình 1: Các nút của thành phần Administrative Templates được tạo thành
bởi mẫu ADM có trong GPO.
Mỗi một mẫu ADM lại có những thông tin cho cả người dùng và máy tính
trong GPO. Có một số từ khóa được sử dụng trong mẫu ADM để phân biệt
hai phần này.
Chức năng thứ hai của mẫu này có liên quan đến mối quan hệ của người
dùng và các thiết lập máy tính được tạo bên trong các file. Các mẫu ADM
cũng chỉ thị chính xác đường dẫn Registry, giá trị, dữ liệu mà mỗi thiết lập
thay đổi. Tất cả thiết lập người dùng trong các mẫu ADM sẽ cập nhật phần
HKEY_CurrentUser của Registry, nơi các thiết lập máy tính cập nhật vùng
HKEY_Local_Machine trong Registry. Hình 2 sẽ thể hiện một entry điển
hình trong mẫu ADM có cập nhật một entry của Registry.
Hình 2: Cú pháp ADM template chỉ thị HKEY, đường dẫn, giá trị và dữ liệu
cho mỗi thiết lập được tạo bên trong mẫu.
Các mẫu ADM mặc định
Với Windows Server 2003, các GPO của có có tổng số 5 mẫu ADM mặc
định. Các mẫu ADM này được liên kết với nhau để quản lý điều khiển khía
cạnh nào đó của Administrative Templates trong GPO, bạn có thể xem chi
tiết trong bảng 1.
Mẫu ADM Chức năng của các mẫu
Conf.adm NetMeeting
Inetres.adm Internet Explorer
System.adm Các thiết lập hệ thống chung
Wmplayer.adm Windows Media Player
Wuau.adm Windows Update/Automatic Update
Bảng 1: Mỗi mẫu ADM đều được thiết kế để kiểm soát các thiết lập nào đó
trong GPO.
Kích thước của toàn bộ các mẫu mặc định này gần 4MB. Do các file này
không nhiều nên chúng chỉ cần ít không gian.
Sự phình lên của mẫu ADM
Để hiểu về sự phình lên của mẫu ADM, bạn phải hiểu cách GPO được lưu
như thế nào. Mỗi GPO được chia nhỏ thành hai phần và mỗi một phần được
lưu trong một vị trí khác nhau trên các bộ điều khiển miền.
Phần có tên Group Policy Container (GPC), được lưu như một đối tượng
trong Active Directory. Vai trò chính của phần này đối với GPO là giữ tất cả
các liên kết, vị trí và đường dẫn về các mặc khác của GPO một cách tinh tế.
GPC không có bất kỳ một thiết lập nào hoặc mẫu nào.
Phần thứ hai của GPO có tên gọi là Group Policy Template (GPT), phần này
được lưu dưới các file nằm dưới SYSVOL trên bộ điều khiển miền (domain
controller). Đường dẫn chính xác của GPT là
c:\Windows\SYSVOL\sysvol\\Policies\. Phần của GPO này chịu trách nhiệm
100% cho việc lưu các thiết lập được cấu hình trong GPO. Không chỉ thực
hiện lưu các thiết lập rất nhiều file mà nó còn phải giữ một bản copy các
mẫu ADM này, bạn có thể xem trong hình 3.
Hình 3: Các mẫu ADM được lưu trong mỗi GPT
Vấn đề về việc phình lên đối với ADM là mỗi GPT lại lưu một bản copy các
mẫu ADM chứ không phải chỉ một bản. Chính vì vậy, nếu bạn có nhiều mẫu
ADM thì tổng số không gian chúng cần sẽ bị phình ra. Có nhiều công ty có
tới trên một ngàn GPO, và mất đến khoảng 4GB không gian để lưu trữ các
mẫu ADM này.
Ngoài việc cần đến nhiều không gian, các mẫu ADM này cũng cần được tái
tạo lại đối với tất cả các bộ điều khiển miền. File Replication Service (hiện
được gọi là DFS Replication trong một số phiên bản của Windows) chịu
trách nhiệm cho việc tái tạo này.
Kiểm tra phiên bản ADM
Một giải pháp để khắc phục hiện tượng phình lên đối với mẫu ADM này đơn
giản là xóa chúng từ GPT. Điều này nghe có vẻ mang tính chất lý thuyết, tuy
nhiên các điều khiển mặc định của mẫu ADM lại chỉ thị rằng mẫu ADM từ
các GPT chỉ nên sử dụng khi soạn thảo GPO.
Để hiểu quá trình hệ thống kiểm soát các mẫu ADM như thế nào, chúng ta
hãy kiểm tra một GPO sử dụng các mẫu ADM khi nó được soạn thảo ra sao.
1. Khi một GPO mới được soạn thảo ra, các phiên bản nội bộ của mẫu ADM
sẽ được copy đến một thư mục ADM trong GPT.
2. Với những soạn thảo sau đó của GPO, hệ thống sẽ so sánh tem ngày của
mẫu ADM đã đựơc lưu trong GPT đối với mẫu ADM được lưu trên máy
trong quá trình thực hiện quản trị. Nếu phiên bản nội bộ của GPO có tem
ngày mới hơn thì nó sẽ được copy vào GPT, ghi đè lên phiên bản cũ.
3. Nếu GPT hoặc máy tính đang thực hiện soạn thảo GPO mà lại không có
bản copy của ADM thì phần này của nút Administrative Templates trong
GPOE sẽ không được cung cấp. Chúng gồm có các mẫu ADM mặc định
hoặc các mẫu ADM tùy chỉnh.
Can thiệp vào các mẫu ADM
Sự can thiệp đôi khi có thể gây ra những vấn đề nghiêm trọng đối với việc
quản lý toàn bộ Group Policy. Nó không chỉ có thể gây ra các vấn đề với
việc tái tạo và lưu trữ mà còn biết được các phiên bản của các mẫu ADM
được cập nhật nhanh chóng, và có thể tiềm ẩn những vấn đề không hay. Nếu
một quản trị viên nào đó có ý không tốt đã thực hiện cập nhật mẫu ADM nội
bộ bằng một thay đổi giá trị Registry và dữ liệu đang được cập nhật. Với
hành vi mặc định về mẫu ADM được cập nhật, toàn bộ các mẫu ADM được
lưu trong GPT có thể bị sửa đổi so với những gì đã soạn thảo trong các
GPO.
Việc tạo kho lưu trữ ADM
Một giải pháp đối với việc nâng cấp cập nhật các mẫu ADM trong GPT để
loại trừ tất cả những ảnh hưởng xấu đến các mẫu ADM là tạo một kho lưu
trữ tập trung chúng. Chỉ cần một vài bước bạn có thể thực hiện được công
việc này. Tuy nhiên bạn cần phải chú ý rằng lưu trữ tập trung là không chỉ
trên một máy tính mà là trên mỗi máy tính thực hiện việc quản trị đối với
GPO. Bằng cách đó, các phiên bản hiện hành của Windows làm việc với các
mẫu ADM, nó hoàn toàn không thể sử dụng đường dẫn UNC cho các mẫu
ADM.
Để tạo một lưu trữ tập trung cho các mẫu ADM, chúng ta thực hiện theo các
bước sau:
1. Xóa các mẫu ADM khỏi mỗi GPT.
2. Đặt một bản copy phiên bản mới nhất đối với mỗi mẫu ADM (mặc định
và tùy chỉnh) vào thư mục C:\Windows\Inf trên mỗi desktop quản trị các
GPO.
3. Tạo một GPO sẽ nhắm đến các máy tính đã bị thay đổi trong bước hai.
Trong GPO, thay đổi thiết lập Always Use Local ADM Files for Group
Policy Editor, thiết lập này có trong Computer Configuration\Administrative
Templates\System\Group Policy. Thay đổi thiết lập sang “Enabled”.
4. Tạo một GPO nhắm cho các tài khoản người dùng có đặc quyền soạn thảo
GPO, thay đổi thiết lậpTurn off Automatic Updates of ADM files có trong
User Configuration\Administrative Templates\System\Group Policy sang
“Enabled”.
Lúc này, khi GPO được soạn thảo, nó sẽ chỉ sử dụng bản copy các mẫu
ADM được lưu nội bộ. Việc soạn thảo GPO lúc này cũng sẽ phủ định việc
kiểm tra phiên bản của các mẫu ADM trong cả hai vị trí, chỉ trả lời trên
phiên bản nội bộ.
Cách khác, bạn cũng có thể bảo vệ các mẫu ADM bằng cách sử dụng một
thiết lập chính sách mới được cung cấp trong PolicyMaker. Thiết lập này
cho phép có thể thực hiện việc xóa một file, sau đó thực hiện copy. Mục đích
là để xóa tất cả các mẫu ADM trên máy tính quản lý GPO khi máy tính này
khởi động. Sau đó khi người dùng đăng nhập, các phiên bản chính xác của
mẫu ADM sẽ được copy xuống máy tính từ một nơi an toàn trên mạng,
Thiết lập mà bạn muốn cấu hình được đặt trong Computer Configuration và
User Configuration sau khi cài đặt PolicyMaker. Hãy tìm kiếm trong nút
Policymaker\Windows Settings, ở đây bạn có thể sẽ thấy Files policy. Sử
dụng chức năng này bạn có thể tạo một chính sách cho máy tính để xóa các
mẫu ADM, và các chính sách khác đối với phần người dùng để copy các
mẫu ADM vào máy tính. Bạn sẽ chỉ tạo các thiết lập cho người dùng và máy
tính thích hợp trong các CPO mà bạn đã tạo ở trên.
Lưu ý:
Các mẫu ADM không có định dạng cúa các thiết lập Registry mặc định
trong GPO. Windows Vista và Windows Server 2008 sử dụng các file
ADMX, đây là các file dựa trên XML. Với các công ty không chuyển sang
Windows Vista hay Windows Server 2008, kho lưu trữ ADM là một tùy
chọn lý tưởng.
Kết luận
Quản lý mẫu ADM là một vấn đề đặt ra khá thường xuyên. Đằng sau kịch
bản xử lý và kiểm soát các mẫu rất khó có thể kiểm tra mà không sử dụng
các thiết lập GPO. Tuy vậy các vấn đề với các mẫu ADM xung quanh như
sự phình lên, tái tạo và kiểm tra phiên bản, những hành vi xấu tiềm ẩn và tập
trung hóa việc quản lý mẫu ADM là hoàn toàn có thể chỉ bằng một vài điều
chỉnh bên trong hệ thống. Khi danh sách các tài khoản người dùng và máy
tính được giảm xuống, bạn có thể thiết lập GPO để kiểm soát cách các hệ
thống này quản lý mẫu ADM, tuy nhiên bạn phải biết các mẫu này đang
được sử dụng ở đâu.
Các file đính kèm theo tài liệu này:
- 66_3899.pdf