intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Group Policy trong Windows Server 2008

Chia sẻ: Fgjỉ Guygh | Ngày: | Loại File: PDF | Số trang:40

Thêm vào BST
Báo xấu
612
lượt xem 140
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong bài này, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề liên quan đến GPO có trong Windows Server 2008 - Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao. Các phần tiếp theo của bài này, chúng tôi sẽ giới thiệu cho các bạn đến các tính năng mới của Group Policy Management...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Group Policy trong Windows Server 2008

  1. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Group Policy trong Windows Server 2008 - Phần 1: Starter GPOs là gì Trong bài này, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề liên quan đến GPO có trong Windows Server 2008 - Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao. Các phần tiếp theo của bài này, chúng tôi sẽ giới thiệu cho các bạn đến các tính năng mới của Group Policy Management Console (GPMC) version 2.0, Các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions và nhiều kiến thức khác. Một vấn đề lưu ý ở đây đó là các thông tin được sử dụng trong bài này đều được dựa trên thông tin thu lượm được từ các phiên bản thử nghiệm của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy một số tính năng và một số hộp thoại có thể thay đổi chút ít so với bản phát hành cuối cùng. GPMC – trong và ngoài? Được xây dựng trong Windows Server 2008 với một giao diện mới - Group Policy Management Console (GPMC) version 2.0, trông và cảm nhận có vẻ khá giống với các phiên bản cũ nhưng nó có một số đặc tính mới được bổ sung trong phiên bản này. Có thể các bạn đã biết, Service Pack 1 cho Windows Vista có thể sẽ uninstall phiên bản GPMC với tư cách một phần trong hệ điều hành - khiến cho bạn không hề có một công cụ để quản lý các GPO miền nào… Tuy nhiên không nên thất vọng như vậy: xung quanh phát hành SP1 cho Windows Vista, GPMC version 2.0 sẽ được cung cấp như một download riêng từ website của Microsoft. Để sử dụng GPMC version 2 bạn cần phải có một trong hai thành phần dưới đây: 1. Microsoft Windows Vista Service Pack 1 với download GPMC 2.0 hoặc
  2. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com 2. Microsoft Windows Server 2008 có tính năng Group Policy Management Source Starter GPO Khi mở GPMC 2.0 bạn có thể sẽ thấy một mục chứa mới (trống rỗng) có tên "Starter GPOs". Mục này có thể giữ những gì mà tôi gọi là các “mẫu” nhằm mục đích tạo các GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được cung cấp - từ ‘Computer Configuration’ và ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm,...). không có trong Starter GPOs, xem trong hình 1. Hình 1: Các thiết lập từ “Administrative Templates” Khi tạo các GPO mới, bạn có thể chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn gọi là mẫu) – để dễ dàng cho việc tạo đa GPO với cùng một cấu hình cơ sở, xem hình 2.
  3. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 2: Source Starter GPO Một GPO mới sẽ gồm có tất cả các thiết lập chính sách “Administrative Templates” từ Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách “Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group Policy Management (AGPM). Mặc dù vậy, sản phẩm đó không nằm trong phạm vi của bài này nên chúng tôi sẽ giới thiệu cho các bạn vào một dịp khác trong các bài khác. Thư mục mới trong SYSVOL Nếu đây là lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền có liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút “Create Starter GPOs Folder” hoặc chỉ cần kích chuột phải vào mục “Starter GPOs” và chọn “New…”, xem hình 3. Tùy chọn sau đó sẽ tạo cho bạn một thư mục Starter GPOs.
  4. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 3: Sử dụng lần đầu tiên Hộp thoại “New Starter GPO” sẽ xuất hiện, yêu cầu bạn nhập vào tên và chú thích, xem hình 4. Hình 4: Tạo một Starter GPO mới Lưu ý rằng, bất cứ thứ gì bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter GPO này như một tài nguyên gốc. Văn bản sẽ được ghi lại với tư cách là comment của GPO. Khi bạn kích hoạt lần đầu tiên Starter GPOs trong miền, sẽ có một thư mục có tên "StarterGPOs" được tạo ra bên trong thư mục
  5. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com SYSVOL với đường dẫn dưới đây: “\\domain.com\SYSVOL\domain.com\StarterGPOs” – đây là nơi tất cả trò “ảo thuật” được thực hiện (xem hình 5) Hình 5: Thư mục StarterGPOs trong SYSVOL Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ có một GUID duy nhất (giống như các GPO thông thường). Vì vậy khi bạn tạo một GPO mới với Starter GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con và các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục \\domain.com\SYSVOL\domain.com\Policies\[SomeNewGUID] (một GUID duy nhất đã tạo trong quá trình), đến lúc này bạn hãy chuẩn bị triển khai một GPO mới.
  6. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6: Chuẩn bị tạo một GPO mới, nhưng không tạo từ bất kỳ “đống hỗn độn” nào Khi kích chuột phải vào Starter GPO, xem hình 6, bạn có thể chọn để tạo “New GPO From Starter GPO…”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền và chọn tùy chọn: ”Create a GPO in this domain, and Link it here...” – chỉ lúc này hộp chọn “Source Starter GPO” mới bị vô hiệu.
  7. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 7: Source Starter GPO chuyển sang màu xám Cabinet và những thứ bên trong Có những thứ rất thú vị mà bạn có thể export các mẫu GPO (Starter GPOs) sang file Cabinet (.CAB) và sau đó import cabinet này vào một môi trường khác – hoàn toàn độc lập với domain/forest nguồn! Chính vì vậy lúc này bạn có thể tạo một Starter GPO hoàn hảo, export nó (xem nút “Save as Cabinet…” trong hình 8) và sau đó mang nó ra bên ngoài, chia sẻ nó với các bạn của bạn, trên Website của bạn, triển khai nó trên tất cả các hệ thống mà bạn có thể giữ quyền kiểm soát,…. Sau quá trình import được thực hiện rất dễ dàng (xem nút “Load Cabinet…” trong hình 8), bạn hãy chuẩn bị tạo các GPO mới với Starter GPO đóng vai trò cơ sở. Hình 8: Tải và Lưu file Cabinet Nếu bạn cũng tò mò như tôi, thì có thể rất mệt với tất cả những gì bên trong file .CAB…. Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm có tối thiểu 2 (nếu không được cấu hình) đến 6 file nén, phụ thuộc vào những thiết lập gì bạn đã cấu hình trong Starter
  8. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com GPO riêng: Tên file Nội dung Gồm có GUID, thông tin phiên bản, tên, mô tả…(định dạng XML) StarterGPO.tmplx File này luôn luôn nằm trong file CAB Báo cáo các thiết lập được tạo ra và bao gồm như một dưới dang file HTML cho mọi “export”. Được thực hiện Report.html nhằm tạo tham chiếu dễ dàng và tài liệu xem xét. File này luôn luôn nằm trong file CAB Một phần ‘Computer Configuration’ (CC) của GPO Machine_Registry.pol File này chỉ được hiện diện nếu có bất kỳ thiết lập nào của CC được hiện diện trong Starter GPO. Một phần ‘User Configuration’ (UC) của GPO User_Registry.pol File này chủ được hiện diện nếu bất kỳ thiết lập nào của UC được hiện diện trong Starter GPO. Gồm có các comment (chú thích) được tạo trên các thiết lập bên trong phần CC của Machine_Comment.cmtx Starter GPO (định dạng XML). File này chỉ được hiện diện
  9. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com nếu có tổi thiểu một thiết lập CC có chú thích được liên kết với nó. Gồm có các comment (chú thích) được tạo trên các thiết lập bên trong phần UC của Starter GPO (định dạng XML). User_Comment.cmtx File này chỉ được hiện diện nếu có tổi thiểu một thiết lập UC có chú thích được liên kết với nó. Bảng 1 Một hạn chế đối với việc export Cabinet là bạn chỉ có thể export một Starter GPO trên một file Cabinet. Vì vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường, vấn đề này sẽ được giới thiệu trong phần tiếp theo. Các Backup Starter GPO tách biệt Bạn phải tạo một quá trình backup tách biệt cho các Starter GPO. Điều này là bởi vì chúng không được backup thông qua phương pháp GPMC "Backup All" mà bạn có thể thực hiện với các GPO thông thường – nhưng chúng có một thủ tục backup riêng. Nếu bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All…”. Tùy chọn này sẽ backup tất cả các Starter GPO (xem hình 9).
  10. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 9: Backup tất cả Starter GPO cùng một lúc Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ thấy tùy chọn “Back Up…”. Tùy chọn này sẽ tạo một backup chỉ cho riêng Starter GPO này. Hình 10: Chọn một backup cục bộ Ủy nhiệm quyền hạn
  11. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Cũng như nhiều tính năng khác của Windows, bạn có thể ủy nhiệm các điều khoản cho phép đối với một người dùng hay nhóm nào đó . Trong trường hợp này, bạn có thể ủy nhiệm các cho phép để tạo Starter GPO trong miền. Vấn đề này được thực hiện từ tab “Delegation”, đây là một tab chỉ thấy khi mục “Starter GPOs” được chọn trong cây menu bên trái, bên trong GPMC (xem hình 11). Hình 11: Tab Delegation cho Starter GPOs Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới SYSVOL (xem phần trên); chỉ có người dùng hay các nhóm được ủy quyền mới hiện trong đây. Kết luận Starter GPO là các mẫu có thể được sử dụng như những cơ sở cho GPO mới – giúp bạn nhanh chóng và dễ dàng trong việc tạo, export, cũng như import các thiết lập chính sách “Administrative Templates”. Chúng có thể không có các tính năng giống nhau như các mẫu GPO mà chúng ta có với AGPM – nhưng cho dù bạn không có một đăng ký DOP/SA theo yêu cầu thì vẫn có thể có một vài điểm miễn phí với Starter GPOs... Tin liên quan:
  12. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Group Policy trong Windows Server 2008 - Phần 2: GPMC Version 2 Group Policy trong Windows Server 2008 - Phần 3: Group Policy Preference  
  13. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Group Policy trong Windows Server 2008 - Phần 2: GPMC Version 2 Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về “Starter GPO”. Phần hai này sẽ giới thiệu đến các bạn Group Policy Management Console (GPMC) version 2 và các tùy chọn trong việc tìm kiếm, lọc và ghi chú. Bài tiếp theo trong loạt bài này sẽ giới thiệu tất cả những khả năng mới với các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions và nhiều hơn thế nữa… Lưu ý: Bạn cần lưu ý rằng một số thông tin trong bài viết này dựa hoàn toàn trên thông tin thu được từ các phiên bản Beta của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy, một số tính năng và hộp thoại có thể thay đổi trước khi phiên bản cuối cùng được phát hành. Một số ghi chú cá nhân Bạn có thể biết một vấn đề là tên của Group Policy Object (GPO) không thực sự nói lên GPO sẽ làm gì, ai đã thiết lập nó để thực hiện hoạt động như hiện tại và tại sao nó cần phải được thiết lập như vậy. Phần “nó thực hiện những gì” có thể được thấy tại tab Settings trong Group Policy Management Console (GPMC). GPMC version 2.0 có hai kiểu thành phần ghi chú khác nhau. Các ghi chú này có thể được sử dụng trong các trường hợp như nêu trên – và tất nhiên còn phụ thuộc nhiều hơn vào nhu cầu của bạn. Kiểu đầu tiên của loại đánh giá bình luận này mà chúng tôi sẽ quan sát là GPO comment chính - bạn có thể có một trong những comment tổng quát trên mỗi GPO. Có một cách (thông thường) để soạn thảo kiểu ghi chú này, đó là bằng cách kích chuột phải vào đối tượng chính sách bên trong Group Policy Management Editor (GPME) và chọn “Properties” (xem hình 1).
  14. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 1: Chọn Properties của GPO Trong các thuộc tính của GPO đã được chọn, bạn sẽ thấy một tab mới có tên gọi là “Comment”, xem hình 2. Hình 2: Tab Comment mới trên GPO Trong trường văn bản bạn có thể đánh vào bất cứ ghi chú gì cần thiết.
  15. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bạn có thể tạo theo một cú pháp công ty sử dụng, để bảo đảm rằng tất cả các thông tin có liên quan không bị rò rỉ. (Ví dụ, “Ai đã yêu cầu cho GPO này”, “Ai đã tạo GPO này”, “Thông tin liên hệ”…). GPO comment có thể được xem từ GPMC trên tab Details – cùng với thông tin GUID, dữ liệu tạo và ngày thay đổi cuối cùng..., tất cả đều có ngay trong phiên bản đầu tiên của GPMC (xem hình 3). Hình 3: GPO comment được quan sát từ tab Detail GPMC Kiểu thứ hai của comment cũng được cung cấp trên các thiết lập Group Policy riêng lẻ - không cho bản thân GPO mà cho mỗi thiết lập bên trong nó! Đó là một dấu hiệu tốt - mặc dù vậy vấn đề ở đây là điều đó chỉ đúng cho các thiết lập chính sách Administrative Template (cả User Configuration và Computer Configuration). Hình 4 hiển thị một ví dụ về Security Setting/Password Policy – và như những gì bạn có thể nhìn thấy ở đây không có tab Comment.
  16. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 4: Không tab Comment, chỉ có các tab cũ Tab Comment hiện lên các thiết lập chính sách bên trong thiết lập Administrative Template (xem hình 5). Hình 5: Tab Comment được hiện diện
  17. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Với GPO comment, các ghi chú thiết lập chính sách (giống như trên hình 5) có thể đặt theo một dạng cú pháp công. Trong ví dụ này, tác giả đã đưa một số tham chiếu cho Request-for-Change bên trong hoặc hệ thống Support, thời điểm để khi nào thiết lập này được thiết lập lần đầu, ai đã yêu cầu sự thay đổi, ai chứng thực thay đổi và ai thực thi nó. Các ghi chú thiết lập chính sách cũng có thể được xem trong báo cáo có được trong GPMC dưới tab “Settings”, một cột mới đã được bổ sung vào tab cho mục đích này (cả khi in ấn và lưu báo cáo). Trong phần 1 của loạt bài này, tôi đã đề cập đến một số file được đặt trong SYSVOL khi ghi chú một Starter GPO. Cũng tương tự cho các GPO thông thường, trong trường hợp này nó có tại đường dẫn \\domain.com\SYSVOL\domain.com\Policies\{GUID} – trong đó GUID là một ID duy nhất của GPO (xem hình 3). Toàn bộ vấn đề này là các file đó có thể được soạn thảo hoặc được tạo một cách thủ công hoặc bằng một kịch bản nếu bạn mong muốn. Các file đã đề cập trong bảng 1 là lý do tại sao việc ghi chú trên một GPO và các thiết lập chính sách riêng biệt là hoàn toàn có thể. Các file không xuất hiện cho tới khi một comment được tạo ra, xem bảng để có thêm thông tin chi tiết hơn nữa. Tên file Nội dung Gồm các comment đã tạo trên các thiết lập bên trong phần CC của Starter GPO (định dạng XML). \Machine\Comment.cmtx File này chỉ xuất hiện nếu số lượng tối thiểu của một thiết lập CC có một comment được liên kết đến nó. Gồm các comment đã tạo \User\Comment.cmtx trên các thiết lập bên trong phần UC của
  18. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Starter GPO (định dạng XML). File này chỉ xuất hiện nếu một số tối thiểu của thiết lập UC có một comment được liên kết đến. Gồm GPO comment (file văn bản). GPO.cmt File này chỉ xuất hiện nếu GPO có một comment liên kết với nó. Bảng 1: Các file comment Kết thúc phần comment của những cải thiện chúng ta sẽ có trong Windows Server 2008 - và GPMC version 2.0. Tiếp theo chúng ta sẽ phải xem xét một số tin tức có liên quan đến chức năng tìm kiếm của Group Policy - hoặc chính xác hơn nữa đó là Filtering. Từ việc lọc tới tìm kiếm Nếu bạn quản trị các Group Policy trong một thời gian ngắn thì có thể đã không dưới một lần bạn tự hỏi chính bản thân rằng “Tại sao không thể tìm kiếm các thiết lập chính sách cụ thể?”, hoặc “Ai đó có thể nhớ 2400 thiết lập chính sách hay không?”. Nó chỉ là một trong những chức năng “nên có bất cứ thời điểm nào” mà bạn không thể sống nếu không có nó, tuy nhiên vẫn cứ phải đợi… Search không được đưa vào như một nghĩa đúng “tìm kiếm” của nó bên trong Group Policy Management Editor (GPME), nó vẫn được gọi là “filtering” (lọc) giống như một chức năng bị hạn chế mà chúng ta đã có trong các phiên bản trước – tuy nhiên hiện nó có nhiều cải thiện hơn. Bạn có thể thấy nó ngay sau khi chọn “Filter Options” từ menu View, hoặc như đã thực hiện trong hình 6.
  19. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6: Chọn Filter Options Quan trọng Việc lọc chỉ được cung cấp bên trong Administrative Templates… Điều này có nghĩa là bạn phải chọn “Administrative Templates” (cả bên dưới phần Computer Configuration hoặc User Configuration của chính sách đã chọn) cho “Filter Options” để hiện lên. Việc mở rộng chức năng tìm kiếm để có khả năng tìm kiếm các phần khác nhau của GPO, đặc biệt “Security Settings”, sẽ thực sự là một điều thú vị, chúng ta hãy hy vọng nó sẽ là một phần của các nhiệm vụ sắp có của nhóm Group Policy…. Nhưng cho tới bây giờ bạn vẫn phải sống với trang dữ liệu Excel “Group Policy Settings Reference for Windows Vista“ (xem phần các liên kết mở rộng) để tìm kiếm thêm các thiết lập khác. Hộp thoại Filter Options, xem hình 7, được chia thành 3 mục. Từ trên đỉnh chúng ta có các hộp danh sách để chọn, sau đó có “Keyword Filters” và phía dưới cùng là “Requirements Filters”.
  20. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 7: Hộp thoại Filter Options Hãy bắt đầu từ trên - hoặc mục đầu tiên là… Hộp danh sách đầu tiên (xem trong hình 8) cho bạn có thể chọn để hiển thị chỉ các chính sách Managed – cách thực hiện bằng chọn ‘Yes’. Bạn cũng có thể chọn ‘No’, nghĩa là không muốn xem bất kỳ chính sách Managed nào. Hoặc có thể chọn ‘Any’ để có cả hai chính sách Managed và un-Managed. Hình 8: Lọc bằng “Managed” Hộp danh sách thứ hai (xem hình 9) cho bạn quyền chọn để hiển thị
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2