Hướng dẫn khắc phục sự cố trong Group Policy
Microsoft Active Directory đã trở thành một thành phần không thể thiếu
của rất nhiều hệ thống IT trên thế giới. Một thành phần quan trọng nhất trong
Active Directory là Group Policy, cho phép người quản trị tập trung quản lý
các domain controllers, các máy chủ, các máy cá nhân.
Trong khi Group Policy cung cấp
rất nhiều tác dụng, nhưng nó có một phần nhỏ hoạt động chưa thực sự trơn tru.
Nó có thể rất phức tạp từ thiết kế tới triển khai trong một tổ chức lớn và
điều đó sẽ sảy ra rất nhiều rắc rối cần phải giải quyết mà đôi khi vài thứ
trở thành những điều không mong muốn. Trong bài viết này, tôi sẽ giới thiệu
với các bạn cấu trúc của Group Policy và cách bạn giải quyết những sự cố
thường gặp. Kết thúc bạn sẽ có tất cả những điều tổng quan để từ đó tạo ra
những Group Policy hợp lý cho môi trường của bạn.
Trouble
some Settings - Giải quyết vài sự cố về thiết lập cấu hình
Có nhiều vấn đề với Group Policy,
đặc biệt nhất là liên quan tới giao điện cách nào việc với Active Directory
và việc thiết kế và triển khai nó. Khi bạn giải quyết những sự cố nhiều dạng
về truy cập và mạng được sự dụng, bạn phải luôn luôn làm việc với Active
Directory và cơ bản về cách triển khai Group Policy trong quá trình nghiên
cứu và giải quyết vấn đề đó. Để bắt đầu giải quyết sự cố, trước tiên bạn phải
tìm kiếm các thiết lập Group Policy có thiết thiết lập sai, sau đó khi bạn
kiểm tra hết phần này đến phần khác rồi bạn trở lên phức tạp vấn đề và điều
này dẫn tới việc hỏng hóc trong các chính sách trong Group Policy.
Các thiết lập Group Policy được
xem lại bởi người quản trị Active Directory sử dụng các Administrative
Template Files (ADM hay ADMX file) và Group Policy Object Editor, hay GPEdit
(với câu lệnh này nó sẽ chạy file gpedit.msc). Sử dụng GPEDit, người quản trị
có thể tạo ra các file Group Policy Object hay GPOs. GPOs được cấu hình và áp
dụng hoặc không được áp dụng (not apply) cho các máy tính hay các người dùng
(computers or users) tại các vị trí trong cấu trúc của Active Directory. Sẽ
có một số lượng các GPOs được áp dụng theo thứ tự từ trên xuống với mỗi thành
phần được lựa chọn.
GPO
Must Be Linked.
Khi GOP được tạo ra, nó có thể
không được liên kết tới các vùng trong Active Directory. Trong trường hợp GPO
được chỉnh sửa lại, nó sẽ không áp dụng với các đối tượng cho đến khi được
liên kết tới vùng đó. Bạn cần phải chắc chắn răng GPO được tạo ra và liên kết
đúng vào những đối tượng cần áp dụng chính sách quản lý đó. Bạn có thể xem
các thông tin đó trong Group Policy Management Console (GPMC) được hiển thị
dưới hình sau đây:
Hình
1 GPO Links Are Clearly Shown
GPO
Must Target Correct Object.
Như bạn đã biết, Group Policy phải
được liên kết với đúng những đối tượng cần thiết trong Active Directory. Tuy
hiên, đôi khi trong những lần giải quyết sự cố với một GOP, có hai vấn đề bạn
cần phải quan tâm đó là computer và user. Khi bạn cấu hình một GPO, phải chắc
chắn một điều là nó sẽ được áp dụng cho computer hay user. Sau khi bạn kiểm
tra đúng các đối tượng cần áp dụng trong một OU thì bạn thực hiện liên kết
GPO đó tới OU cần thiết.GPOs Don't Apply to Groups
Một vấn đề mà bạn cần phải biết
là, một GPO không thể áp dụng cho một Security Group trong Active Directory.
Chỉ có hai đối tượng mà GPO có thể áp dụng là Computers và Users. Bạn không
thể cấy hình GPO qua các đối tượng là thành viên trong nhóm. Ví dụ: Nếu một
GPO liên kết tới một OU là Finance, hiển thị với hình dưới đây, thì chỉ hai
đối tượng sẽ bị ảnh hưởng bởi các thiết lập là Derek và Frank. Các thiết lập
sẽ không ảnh hưởng tới các thành viên khác thuộc group Marketing, những người
không nằm trong OU này.
Hình
2 Finance OU and the Objects Within It
Target
Object Must Be in the Path of the GPO.
Khi bạn quan tâm tới sự ảnh hưởng
của GPO tới một đối tượng, một vấn đề quan trọng hơn nữa là phải quan tâm tới
mức độ ảnh hưởng Scope of Management (SOM) của GPO. Có nghĩa là một đối tượng
muốn chịu sự ảnh hưởng của GPO thì nó phải nằm trong OU mà GPO liên kết tới.
Trong ví dụ dưới đây khi không có một đối tượng nào trong OU Marketing thì nó
sẽ chịu ảnh hưởng bởi một GPO liên kết tới OU Finance, được hiển thị hình
dưới. Sự ảnh hưởng của một GPO tính từ vùng nó liên kết tới (node where it
linked) tới các OU đứng sau nó trong cấu trúc của Active Directory nhưng các
OU bị ảnh hưởng chỉ cùng một Level mà thôi.
GPO
Needs To Be Enabled.
Khi một GPO được tạo ra, nó sẽ
không cấu hình cho tới khi bất kỳ sự thay đổi nào tới những đối tượng trong
nó. Tuy nhiên, nó có thiết lập cho cả Computer và User. Khi bạn giải quyết sự
cố với những GPO không áp dụng bạn phải xem xem GPO đó có bị Disable vấn đề
nào không, và bạn có thể sử dụng Group Policy Object|Account Policy trong
GPMC và kiểm trả trạng thái của GPO.Some Settings Need a Reboot
Khi một GPO được thiết lập mà
không hoạt động, nó có thể là do chúng kế thừa từ những GPOs khác. Và điều đó
những thiết lập đó có thể sẽ không hoạt động cho đến lần khởi động sau, hoặc
khi user logs off và log in trở lại.
Một vấn đề khác mà khi bạn giải
quyết sự cố cần phải quan tâm đó là đồng bộ hay không đồng bộ các thiết lập
của mình. Với một GPO bạn có thể cấu hình áp dụng chính sách khi khởi động và
khi người dùng logon hệ thống. Sự thay đổi đó sẽ tạo ra tính năng bắt buộc
người dùng được cung cấp các thiết lập, và chắc chắn một điều rằng toàn bộ
các chính sách được áp dụng trước khi user truy cập vào desktop. Với các
thiết lập mặc định các hệ điều hành có thể không được cung ứng.
When OUs Are at the Same Level,
GPOs Only Apply to the OU Where It Is Linked
với thiết lập sau toàn bộ hệ thống
sẽ luôn đồng bộ các chính sách được thiết lập
computer configuration |
administrative templates |
System | Logon | Always wait for
the network at computer startup and logon
Hầu hết các nhà quản trị đều lựa
chọn việc đồng bộ cho các chính sách đã được thiết lập và điều đó chắc chắn
một điều rằng toàn bộ các chính sách đó sẽ được áp dụng trước khi người dùng
truy cập vào hệ thống. Tất cả các thiết lập bảo mật cũng được áp dụng cho
người dùng. Chú ý một điều rằng Windows XP Professional, luôn cấu hình để tối
ưu cho tốc độ logon vào hệ thống.
Có bốn cách khác nhau có thể sử
dụng để thay đổi cách kế thừa từ mặc định của một tiến trình của GPO. Với
những tuỳ chọn mang đến hiệu quả áp dụng cho nhiều cách khác nhau. Nó có thể
tạo ra điều kiện vô cùng khó khăn trong việc giải quyết những sự cố liên
quan. Với tuỳ chọn có thể thay đổi mặc định bao gồm 4 thiết lập sau:
Block policy inheritance
GPO enforcement
GPO filtering of the access
control list (ACL)
Windows Management Instrumentation
(WMI) Filters
Có rất nhiều công cụ giúp bạn giải
quyết những vấn đề trong Group Policy. Có vài công cụ được xây dựng có sẵn
trong hệ điều hành và một số có thể download về cài đặt và sử dụng. Dưới đây
là một vài công cụ bạn có thể sử dụng để làm những công cụ giải quyết những
vẫn đề liên quan tới Group Policy.
Dcgpofix: Làm việc trực tiếp với
hai GPOs mặc định là Default Domain Policy và Default Domain Controllers
Policy.
Recreatedefpol: Công cụ tương tự
như Dcgpofix làm việc hỗ trợ trên Windows 2000 Server.
Gpresult: hoạt động từ máy locally
cung cấp các thông tin về Resultant Set of Policies, Block GPOs.
Gpupdate: refresh toàn bộ các GPO
được thiết lập.
Gpotool: hoạt động trên các DC và
khi một GPO thay đổi trên một DC này sẽ thực hiện sự thay đổi và lưu lại quá
trình đó trên các DC khác.
|