[Windows Server 2008] - Group Policy

[shomenuchi]

akob H. Heidelberg
Trong bài này, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề liên quan đến GPO có trong Windows Server 2008 - Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao.

Các phần tiếp theo của bài này, chúng tôi sẽ giới thiệu cho các bạn đến các tính năng mới của Group Policy Management Console (GPMC) version 2.0, Các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions và nhiều kiến thức khác.

Một vấn đề lưu ý ở đây đó là các thông tin được sử dụng trong bài này đều được dựa trên thông tin thu lượm được từ các phiên bản thử nghiệm của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy một số tính năng và một số hộp thoại có thể thay đổi chút ít so với bản phát hành cuối cùng.

GPMC – trong và ngoài?

Được xây dựng trong Windows Server 2008 với một giao diện mới - Group Policy Management Console (GPMC) version 2.0, trông và cảm nhận có vẻ khá giống với các phiên bản cũ nhưng nó có một số đặc tính mới được bổ sung trong phiên bản này.

Có thể các bạn đã biết, Service Pack 1 cho Windows Vista có thể sẽ uninstall phiên bản GPMC với tư cách một phần trong hệ điều hành - khiến cho bạn không hề có một công cụ để quản lý các GPO miền nào… Tuy nhiên không nên thất vọng như vậy: xung quanh phát hành SP1 cho Windows Vista, GPMC version 2.0 sẽ được cung cấp như một download riêng từ website của Microsoft.

Để sử dụng GPMC version 2 bạn cần phải có một trong hai thành phần dưới đây:

1. Microsoft Windows Vista Service Pack 1 với download GPMC 2.0 hoặc

2. Microsoft Windows Server 2008 có tính năng Group Policy Management

Source Starter GPO

Khi mở GPMC 2.0 bạn có thể sẽ thấy một mục chứa mới (trống rỗng) có tên "Starter GPOs". Mục này có thể giữ những gì mà tôi gọi là các “mẫu” nhằm mục đích tạo các GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được cung cấp - từ ‘Computer Configuration’ và ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm,...). không có trong Starter GPOs, xem trong hình 1.

Hình 1: Các thiết lập từ “Administrative Templates”

Khi tạo các GPO mới, bạn có thể chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn gọi là mẫu) – để dễ dàng cho việc tạo đa GPO với cùng một cấu hình cơ sở, xem hình 2.

Hình 2: Source Starter GPO

Một GPO mới sẽ gồm có tất cả các thiết lập chính sách “Administrative Templates” từ Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách “Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group Policy Management (AGPM). Mặc dù vậy, sản phẩm đó không nằm trong phạm vi của bài này nên chúng tôi sẽ giới thiệu cho các bạn vào một dịp khác trong các bài khác.

Thư mục mới trong SYSVOL

Nếu đây là lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền có liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút “Create Starter GPOs Folder” hoặc chỉ cần kích chuột phải vào mục “Starter GPOs” và chọn “New…”, xem hình 3. Tùy chọn sau đó sẽ tạo cho bạn một thư mục Starter GPOs.

Hình 3: Sử dụng lần đầu tiên

Hộp thoại “New Starter GPO” sẽ xuất hiện, yêu cầu bạn nhập vào tên và chú thích, xem hình 4.

Hình 4: Tạo một Starter GPO mới

Lưu ý rằng, bất cứ thứ gì bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter GPO này như một tài nguyên gốc. Văn bản sẽ được ghi lại với tư cách là comment của GPO. Khi bạn kích hoạt lần đầu tiên Starter GPOs trong miền, sẽ có một thư mục có tên "StarterGPOs" được tạo ra bên trong thư mục SYSVOL với đường dẫn dưới đây:
“\\domain.com\SYSVOL\domain.com\StarterGPOs” – đây là nơi tất cả trò “ảo thuật” được thực hiện (xem hình 5)

Hình 5: Thư mục StarterGPOs trong SYSVOL

Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ có một GUID duy nhất (giống như các GPO thông thường). Vì vậy khi bạn tạo một GPO mới với Starter GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con và các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục \\domain.com\SYSVOL\domain.com\Policies\[SomeNewGUID] (một GUID duy nhất đã tạo trong quá trình), đến lúc này bạn hãy chuẩn bị triển khai một GPO mới.

Hình 6: Chuẩn bị tạo một GPO mới, nhưng không tạo từ bất kỳ “đống hỗn độn” nào

Khi kích chuột phải vào Starter GPO, xem hình 6, bạn có thể chọn để tạo “New GPO From Starter GPO…”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền và chọn tùy chọn: ”Create a GPO in this domain, and Link it here...” – chỉ lúc này hộp chọn “Source Starter GPO” mới bị vô hiệu.

Hình 7: Source Starter GPO chuyển sang màu xám

Cabinet và những thứ bên trong

Có những thứ rất thú vị mà bạn có thể export các mẫu GPO (Starter GPOs) sang file Cabinet (.CAB) và sau đó import cabinet này vào một môi trường khác – hoàn toàn độc lập với domain/forest nguồn!

Chính vì vậy lúc này bạn có thể tạo một Starter GPO hoàn hảo, export nó (xem nút “Save as Cabinet…” trong hình 8) và sau đó mang nó ra bên ngoài, chia sẻ nó với các bạn của bạn, trên Website của bạn, triển khai nó trên tất cả các hệ thống mà bạn có thể giữ quyền kiểm soát,…. Sau quá trình import được thực hiện rất dễ dàng (xem nút “Load Cabinet…” trong hình 8), bạn hãy chuẩn bị tạo các GPO mới với Starter GPO đóng vai trò cơ sở.

Hình 8: Tải và Lưu file Cabinet

Nếu bạn cũng tò mò như tôi, thì có thể rất mệt với tất cả những gì bên trong file .CAB…. Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm có tối thiểu 2 (nếu không được cấu hình) đến 6 file nén, phụ thuộc vào những thiết lập gì bạn đã cấu hình trong Starter GPO riêng:

.

Một hạn chế đối với việc export Cabinet là bạn chỉ có thể export một Starter GPO trên một file Cabinet. Vì vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường, vấn đề này sẽ được giới thiệu trong phần tiếp theo.

Các Backup Starter GPO tách biệt

Bạn phải tạo một quá trình backup tách biệt cho các Starter GPO. Điều này là bởi vì chúng không được backup thông qua phương pháp GPMC "Backup All" mà bạn có thể thực hiện với các GPO thông thường – nhưng chúng có một thủ tục backup riêng. Nếu bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All…”. Tùy chọn này sẽ backup tất cả các Starter GPO (xem hình 9).

Hình 9: Backup tất cả Starter GPO cùng một lúc

Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ thấy tùy chọn “Back Up…”. Tùy chọn này sẽ tạo một backup chỉ cho riêng Starter GPO này.

Hình 10: Chọn một backup cục bộ

Ủy nhiệm quyền hạn

Cũng như nhiều tính năng khác của Windows, bạn có thể ủy nhiệm các điều khoản cho phép đối với một người dùng hay nhóm nào đó . Trong trường hợp này, bạn có thể ủy nhiệm các cho phép để tạo Starter GPO trong miền. Vấn đề này được thực hiện từ tab “Delegation”, đây là một tab chỉ thấy khi mục “Starter GPOs” được chọn trong cây menu bên trái, bên trong GPMC (xem hình 11).

Hình 11: Tab Delegation cho Starter GPOs

Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới SYSVOL (xem phần trên); chỉ có người dùng hay các nhóm được ủy quyền mới hiện trong đây.

Kết luận

Starter GPO là các mẫu có thể được sử dụng như những cơ sở cho GPO mới – giúp bạn nhanh chóng và dễ dàng trong việc tạo, export, cũng như import các thiết lập chính sách “Administrative Templates”. Chúng có thể không có các tính năng giống nhau như các mẫu GPO mà chúng ta có với AGPM – nhưng cho dù bạn không có một đăng ký DOP/SA theo yêu cầu thì vẫn có thể có một vài điểm miễn phí với Starter GPOs...

Bài viết cùng chủ đề:

• [Windows Server 2008] - Hướng dẫn cài Exchange 2007 trên Window Server 2008
• [Windows Server 2008] - Cài đặt Windows Server Core
• TrainSignal Windows Server 2008 MCITP Server Administrator 70 - 646 - DDUiSO | 4,55GB
• Khắc phục sự cố các thiết lập bảo mật Group Policy
• Một số thủ thuật của Group Policy trong Windows XP

[shomenuchi]

Phần 2: GPMC Version 2

Bài tiếp theo trong loạt bài này sẽ giới thiệu tất cả những khả năng mới với các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions và nhiều hơn thế nữa…

Lưu ý:
Bạn cần lưu ý rằng một số thông tin trong bài viết này dựa hoàn toàn trên thông tin thu được từ các phiên bản Beta của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy, một số tính năng và hộp thoại có thể thay đổi trước khi phiên bản cuối cùng được phát hành.

Một số ghi chú cá nhân

Bạn có thể biết một vấn đề là tên của Group Policy Object (GPO) không thực sự nói lên GPO sẽ làm gì, ai đã thiết lập nó để thực hiện hoạt động như hiện tại và tại sao nó cần phải được thiết lập như vậy. Phần “nó thực hiện những gì” có thể được thấy tại tab Settings trong Group Policy Management Console (GPMC).

GPMC version 2.0 có hai kiểu thành phần ghi chú khác nhau. Các ghi chú này có thể được sử dụng trong các trường hợp như nêu trên – và tất nhiên còn phụ thuộc nhiều hơn vào nhu cầu của bạn.

Kiểu đầu tiên của loại đánh giá bình luận này mà chúng tôi sẽ quan sát là GPO comment chính - bạn có thể có một trong những comment tổng quát trên mỗi GPO.

Có một cách (thông thường) để soạn thảo kiểu ghi chú này, đó là bằng cách kích chuột phải vào đối tượng chính sách bên trong Group Policy Management Editor (GPME) và chọn “Properties” (xem hình 1).

Hình 1: Chọn Properties của GPO

Trong các thuộc tính của GPO đã được chọn, bạn sẽ thấy một tab mới có tên gọi là “Comment”, xem hình 2.

Hình 2: Tab Comment mới trên GPO

Trong trường văn bản bạn có thể đánh vào bất cứ ghi chú gì cần thiết. Bạn có thể tạo theo một cú pháp công ty sử dụng, để bảo đảm rằng tất cả các thông tin có liên quan không bị rò rỉ. (Ví dụ, “Ai đã yêu cầu cho GPO này”, “Ai đã tạo GPO này”, “Thông tin liên hệ”…). GPO comment có thể được xem từ GPMC trên tab Details – cùng với thông tin GUID, dữ liệu tạo và ngày thay đổi cuối cùng..., tất cả đều có ngay trong phiên bản đầu tiên của GPMC (xem hình 3).

Hình 3: GPO comment được quan sát từ tab Detail GPMC

Kiểu thứ hai của comment cũng được cung cấp trên các thiết lập Group Policy riêng lẻ - không cho bản thân GPO mà cho mỗi thiết lập bên trong nó! Đó là một dấu hiệu tốt - mặc dù vậy vấn đề ở đây là điều đó chỉ đúng cho các thiết lập chính sách Administrative Template (cả User Configuration và Computer Configuration). Hình 4 hiển thị một ví dụ về Security Setting/Password Policy – và như những gì bạn có thể nhìn thấy ở đây không có tab Comment.

Hình 4: Không tab Comment, chỉ có các tab cũ

Tab Comment hiện lên các thiết lập chính sách bên trong thiết lập Administrative Template (xem hình 5).

Hình 5: Tab Comment được hiện diện

Với GPO comment, các ghi chú thiết lập chính sách (giống như trên hình 5) có thể đặt theo một dạng cú pháp công. Trong ví dụ này, tác giả đã đưa một số tham chiếu cho Request-for-Change bên trong hoặc hệ thống Support, thời điểm để khi nào thiết lập này được thiết lập lần đầu, ai đã yêu cầu sự thay đổi, ai chứng thực thay đổi và ai thực thi nó.

Các ghi chú thiết lập chính sách cũng có thể được xem trong báo cáo có được trong GPMC dưới tab “Settings”, một cột mới đã được bổ sung vào tab cho mục đích này (cả khi in ấn và lưu báo cáo).

Trong phần 1 của loạt bài này, tôi đã đề cập đến một số file được đặt trong SYSVOL khi ghi chú một Starter GPO. Cũng tương tự cho các GPO thông thường, trong trường hợp này nó có tại đường dẫn \\domain.com\SYSVOL\domain.com\Policies\{GUID} – trong đó GUID là một ID duy nhất của GPO (xem hình 3). Toàn bộ vấn đề này là các file đó có thể được soạn thảo hoặc được tạo một cách thủ công hoặc bằng một kịch bản nếu bạn mong muốn.

Các file đã đề cập trong bảng 1 là lý do tại sao việc ghi chú trên một GPO và các thiết lập chính sách riêng biệt là hoàn toàn có thể. Các file không xuất hiện cho tới khi một comment được tạo ra, xem bảng để có thêm thông tin chi tiết hơn nữa.

Bảng 1: Các file comment

Kết thúc phần comment của những cải thiện chúng ta sẽ có trong Windows Server 2008 - và GPMC version 2.0. Tiếp theo chúng ta sẽ phải xem xét một số tin tức có liên quan đến chức năng tìm kiếm của Group Policy - hoặc chính xác hơn nữa đó là Filtering.

Từ việc lọc tới tìm kiếm

Nếu bạn quản trị các Group Policy trong một thời gian ngắn thì có thể đã không dưới một lần bạn tự hỏi chính bản thân rằng “Tại sao không thể tìm kiếm các thiết lập chính sách cụ thể?”, hoặc “Ai đó có thể nhớ 2400 thiết lập chính sách hay không?”. Nó chỉ là một trong những chức năng “nên có bất cứ thời điểm nào” mà bạn không thể sống nếu không có nó, tuy nhiên vẫn cứ phải đợi…

Search không được đưa vào như một nghĩa đúng “tìm kiếm” của nó bên trong Group Policy Management Editor (GPME), nó vẫn được gọi là “filtering” (lọc) giống như một chức năng bị hạn chế mà chúng ta đã có trong các phiên bản trước – tuy nhiên hiện nó có nhiều cải thiện hơn. Bạn có thể thấy nó ngay sau khi chọn “Filter Options” từ menu View, hoặc như đã thực hiện trong hình 6.

Hình 6: Chọn Filter Options

Quan trọng
Việc lọc chỉ được cung cấp bên trong Administrative Templates… Điều này có nghĩa là bạn phải chọn “Administrative Templates” (cả bên dưới phần Computer Configuration hoặc User Configuration của chính sách đã chọn) cho “Filter Options” để hiện lên.

Việc mở rộng chức năng tìm kiếm để có khả năng tìm kiếm các phần khác nhau của GPO, đặc biệt “Security Settings”, sẽ thực sự là một điều thú vị, chúng ta hãy hy vọng nó sẽ là một phần của các nhiệm vụ sắp có của nhóm Group Policy…. Nhưng cho tới bây giờ bạn vẫn phải sống với trang dữ liệu Excel “Group Policy Settings Reference for Windows Vista“ (xem phần các liên kết mở rộng) để tìm kiếm thêm các thiết lập khác.

Hộp thoại Filter Options, xem hình 7, được chia thành 3 mục. Từ trên đỉnh chúng ta có các hộp danh sách để chọn, sau đó có “Keyword Filters” và phía dưới cùng là “Requirements Filters”.

Hình 7: Hộp thoại Filter Options

Hãy bắt đầu từ trên - hoặc mục đầu tiên là…

Hộp danh sách đầu tiên (xem trong hình 8) cho bạn có thể chọn để hiển thị chỉ các chính sách Managed – cách thực hiện bằng chọn ‘Yes’. Bạn cũng có thể chọn ‘No’, nghĩa là không muốn xem bất kỳ chính sách Managed nào. Hoặc có thể chọn ‘Any’ để có cả hai chính sách Managed và un-Managed.

Hình 8: Lọc bằng “Managed”

Hộp danh sách thứ hai (xem hình 9) cho bạn quyền chọn để hiển thị chỉ các thiết lập chính sách đã được cấu hình – Configured, được thực hiện bằng cách chọn ‘Yes’. Bằng việc chọn ‘No’ sẽ chỉ có được các chính sách bị bỏ lại không động chạm đến – và cuối cùng là ‘Any’ cho cả các thiết lập chính sách Configured và un-Configured.

Hình 9: Lọc bởi “Configured”

Hộp danh sách chọn thứ ba (xem hình 10) cho phép có thể chọn để hiển thị chỉ các thiết lập chính sách đã được ghi chú – Commented – chính sách này được chọn bằng cách chọn ‘Yes’. Chọn ‘No’ sẽ chỉ có các thiết lập chính sách không có ghi chú – và cuối cùng là ‘Any’ cho phép có được cả các thiết lập chính sách Commented và un-Commented.

Hình 10: Lọc bởi “Commented”

Các lựa chọn đã thực hiện trong cả ba hộp chọn được kết hợp vào một bộ tìm kiếm hẹp.

Mục thứ hai là cho Keyword Filers, xem hình 11 – đây là những gì bạn có thể gọi đúng nghĩa chữ “Search”.

Đầu tiên, kích vào “Enable Keyword Filters”, sau đó đánh một số từ vào trường tìm kiếm (ví dụ “Wait network” như trong hình 11). Sau đó chọn những gì bạn muốn tìm kiếm bên trong bằng cách check và hủy check các hộp kiểm bên dưới trường tìm kiếm. Bạn có thể tìm kiếm cho các tương ứng bên trong trường “Policy Setting Title”, “Explain Text” hoặc “Comment”.

Hình 11: Keyword Filters

Hộp danh sách chọn ở bên phải hình 11 có 3 thiết lập có thể:

• ‘All’ – tất cả các từ bạn đã đánh vào trường tìm kiếm phải hiển thị trong tiêu đề thiết lập chính sách, văn bản giải thích hoặc ghi chú - phụ thuộc vào những gì bạn chọn trong các hộp kiểm (xem ở trên)
• ‘Any’ – Nếu chỉ một trong các từ được hiển thị sẽ được xem xét như một tìm kiếm thoả đáng.
• ‘Exact’ – Những từ được hiển thị theo một thứ tự chính xác mà bạn đã đánh vào.

Mục cuối cùng là cho Requirements Filters (xem hình 12), kích “Enable Requirements Filters” để thiết lập các bộ lọc đó. Một số thiết lập chính sách chỉ áp dụng nền tảng “Windows Vista”, “Windows Vista Service Pack 1”, bằng việc sử dụng các bộ lọc này có thể xem chính xác những gì khi bạn có đối với phiên bản của một hệ điều hành/Internet Explorer/Media Player, …

Bạn có thể chọn từ hai tiêu chuẩn sau:

• Include settings that match any of the selected platforms – Gồm các thiết lập tương ứng với bất kỳ nền tảng đã chọn nào - sẽ trả về cho các thiết lập chính sách bất cứ nền tảng nào đã chọn khả năng quản lý (không phải tất cả các nền tảng đều được chiếu theo ở đây).
• Include settings that match all of the selected platforms – Gồm các thiết lập tương ứng với tất cả các nền tảng đã chọn – Vì vậy nếu bạn chọn “Microsoft Windows 2000” và “Windows Vista” nó sẽ trả về chỉ các thiết lập chính sách mà cả hai nền tảng này chiếu theo nó.

Hình 12: Các yêu cầu của Filter

Lưu ý:
Tính năng này có một số lỗi đã được biết trong Windows Server 2008 RC0 và đã được vá trong các phiên bản BETA, vì vậy bạn không cần phải lo lắng về nó.

Khi đã thực hiện xong việc cấu hình và điều chỉnh Filter Options, kích OK và bây giờ những gì bạn thấy chính là những gì mong muốn. Kích nút “All Settings” như trong hình 3.

Hình 13: Nút “All Settings

Nút “All Settings” là một nút khá quan trọng – có một nút cho phần Computer Configuration và một nút cho phần User Configuration của chính sách. Lưu ý rằng khi Filter Options được cho phép thì việc lọc được thực hiện cho cả Computer Configuration và User Configuration. Bạn cũng có thể duyệt thông qua kiến trúc các mục chính sách giống như chúng tôi đã sử dụng. Lưu ý rằng các biểu tượng đã bị thay đổi nơi các bộ lọc gây ảnh hưởng lên chúng.

Hình 14: Duyệt bộ lọc kiểu cũ

Nếu bạn thay đổi một cái gì đó bên trong một chính sách khi bộ lọc đang ở trạng thái kích hoạt mà bạn đã cấu hình một thiết lập chính sách không cấu hình (un-configured) từ trước thì sẽ phải “refresh” lại quan sát một cách thủ công, được biết đến như “Re-Apply Filter” (xem hình 15). Đây quản thực giống như việc tắt bộ lọc sau đó lập lại nó.

Hình 15: Chọn Re-Apply Filter

Khi không muốn sử dụng bộ lọc nữa thì bạn có thể tắt bằng việc xóa dấu chọn tại “Filter On”, xem hình 16. Cần lưu ý là phần Filter Options của bạn sẽ được nhớ trong Group Policy Management Editor (GPME), vì vậy cho đến lần kế tiếp khởi động thì bạn sẽ có thể bật bộ lọc đã được sử dụng lần cuối cùng.

Hình 16: Filter On/Off

Cuối cùng tôi muốn giới thiệu cho các bạn là nút “All Settings”. Nút này cho phép bạn quan sát theo thứ tự bảng chữ cái mọi thứ bên dưới phần Computer Configuration (hình 17) hoặc User Configuration (hình 18) của chính sách.

Hình 17: Computer Configuration với “All Setting”

Kích “Setting”, “State”, “Comment” hoặc cột “Path” để xắp xếp các thiết lập chính sách đã hiển thị nếu bạn muốn tìm một cái gì đó nhanh chóng, ví dụ, xem tất cả các thiết lập có comment đã được định nghĩa - hoặc tất cả trong trạng thái ‘Enabled’. Lưu ý rằng tại thời điểm này (Windows Server 2008 RC0) chúng ta có 1375 thiết lập Computer Configuration bên dưới Administrative Templates và 1307 thiết lập User Configuration, xem hình 18 - quả thật cần phải nhớ quá nhiều!

Hình 18: User Configuration với nút “All Setting”

Chức năng Search - hoặc filtering như tôi nói - sẽ là một thuận lợi lớn. Chúng ta không cách xa phát hành của GPMC version 2.0 cho Windows Vista bao nhiêu – khi nhóm Group Policy đã hứa phát hành với tư cách một download riêng khi Windows Vista Service Pack 1 được phát hành (vì như đã biết, nếu bạn đã đọc phần 1 thì GPMC được xây dựng kèm sẽ được xóa trong suốt quá trình cài đặt gói dịch vụ SP1).

Kết luận

Windows Server 2008 và GPMC version đang mang đến một một tính năng mới tuyệt vời có liên quan đến Group Policy. Một số cải thiện nhỏ nhưng cũng có một số cải thiện lớn. Phần lớn nó có thể rất hữu dụng cho các quản trị viên trong hầu hết các môi trường. Chức năng tìm kiếm đã được đáp ứng, và có thể một vài năm nữa nó sẽ được như mong muốn của chúng ta.

[shomenuchi]

Trong phần tiếp theo của loạt bài này chúng ta sẽ xem xét kỹ hơn về Group Policy Preferences và cách chúng làm việc như thế nào và sử dụng ra sao.
Lưu ý:
Một số thông tin trong bài này dựa trên các thông tin thu được từ phiên bản Beta của Windows Server 2008 (Beta 3, RC0 and RC1). Chính vì vậy, một số tính năng và hộp thoại có thể sẽ có thay đổi khi có được phiên bản phát hành cuối cùng. Group Policy Preferences là một phần trong phát hành Release Candidate 1 (RC1) bản beta của Windows Server 2008.
Group Policy Preferences
Quay lại vào tháng 10 năm 2006, Microsoft đã thu nhận được công ty DesktopStandard. Một trong những sản phẩm nổi tiếng của họ, PolicyMaker, hiện đã được đưa vào trong dòng sản phẩm của Microsoft với tư cách là một thành phần của Windows Server 2008 và cả Remote Server Administration Toolkit (RSAT), thành phần mà chúng tôi muốn giới thiệu đến các bạn trong phần sau.
Phần mềm PolicyMaker có khả năng điều khiển và cấu hình một cách dễ dàng hơn, từ một điểm trung tâm, hơn những gì Group Policies thông thường có thể. Một số thiết lập ưu tiên (Preference) quả thực chồng lấp với các thiết lập chính sách “thực”, tuy nhiên trong trường hợp đó bạn lại có sự lựa chọn giữa một chính sách và một sự ưu tiên (Preference). Vì vậy bạn có thể đặt ra câu hỏi: Sự khác nhau ở đây là gì? Một chính sách là một cái gì đó mà bạn ép buộc và nó không thể bị thay đổi bởi người dùng – còn một ưu tiên (Preference) là một việc thiết lập mà bạn thích người dùng đảm nhận nhưng người dùng lúc này có thể thay đổi nó.
Preference có thể được thiết lập để chỉ áp dụng một lần hoặc áp dụng mỗi lần Group Policy được refresh (mặc định cứ 90 đến 120 phút một lần trên các máy khách). Chúng ta sẽ quay lại những vấn đề sâu hơn trong hoạt động này ở phần tiếp theo của loạt bài này.
Trong hình 1 bạn sẽ thấy một cái nhìn hoàn toàn mới từ công cụ Group Policy Management Editor, lưu ý chính sách của chúng tôi có tên gọi “GP Preferences” được phân thành Computer Configuration và User Configuration như thường lệ, nhưng mỗi một nút đó lại được phân thành hai nút cấp thấp: “Policies” (màu đỏ), đây là một thành phần đã có trong Group Policy trước đây mà chúng ta đã biết, “Preferences” (màu xanh), đây là thành phần cho các thiết lập Group Policy Preference (Windows hoặc Control Panel).

Hình 1: Policies và Preferences

Lý do Group Policy preferences làm việc và cung cấp nhiều tính năng hơn các thiết lập Group Policy đang tồn tại là vì nó có một phần mềm nhỏ mở rộng cho client, Client Side Extension (CSE). Phần mềm nhỏ này phải hiện diện trên các máy khách được quản lý đối với Group Policy Preferences để nó có thể làm việc. Những gì CSE cần là một phần được xây dựng kèm theo trong Windows Server 2008 – nhưng phải được tải về và cài đặt trên Windows XP SP2, Windows Server 2003 SP1 và Windows Vista (Windows 2000 và các hệ điều hành trước nó không được hỗ trợ). Gói CSE sẽ được cung cấp cho cả hai hệ điều hành 32 và 64 bit.
Chúng ta có thể thực hiện những gì với Group Policy Preferences?
Group Policy Preferences cung cấp rất nhiều tính năng ưu điểm cho các quản trị viên. Đó là những thứ mà lẽ ra nên có ngay từ những ngày đầu có Active Directory, nhưng: muộn còn hơn không! Nhiều tính năng Group Policy Preferences mang đến là các thiết lập làm cho mọi người có thể tạo nhiều hoặc các kịch bản ít phức tạp hơn - hoặc các mẫu quản trị tùy thích (các file ADM/ADMX/ADML) - đối với vấn đề đó, như drive và ánh xạ hóa máy in, các nhiệm vụ copy file, desktop shortcuts, sự sáng tạo của nguồn dữ liệu ODBC và có lẽ quan trọng nhất đó là các điều chỉnh registry có khả năng tùy chỉnh cho cả các ứng dụng phần mềm non-Group Policy! Tuy nhiên, Group Policy Preferences cung cấp còn nhiều hơn những gì chúng tôi vừa liệt kê trên – 4 bảng dưới đây sẽ cho bạn thấy được những gì công nghệ này có thể mang đến.
Bảng 1 cho chúng ta có được một ý tưởng về những gì Group Policy Preferences có thể cung cấp liên quan đến Windows Settings ở mức Computer Configuration.

Bảng 2 cho bạn thấy được ý tưởng về những gì Group Policy Preferences cung cấp liên quan đến Control Panel Settings ở mức Computer Configuration.

Bảng 3 thể hiện những gì mà Group Policy Preferences cung cấp liên quan đến các thiết lập Windows ở mức User Configuration.

Bảng 4 là những gì Group Policy Preferences cung cấp liên quan đến Control Panel Settings ở mức User Configuration

Như những gì bạn đã thấy trong 4 bảng ở trên, chúng ta có rất nhiều khả năng đối với Group Policy Preferences.
Dành cho những ai?
Phần này có lẽ là quan trọng nhất –vì vậy bạn nên xem kỹ … Bạn có lẽ rất mong có những thứ như StarterGPOs, Comments, Search/Advanced Filtering và Group Policy Preferences, vậy nó đáng giá bao nhiêu? Nó quả thực không đắt, bạn sẽ không phải cài Windows Server 2008 trên tất cả các Domain Controllers hay bất thành phần nào tương tự - tất cả những gì bạn cần ở đây là phải có Windows Vista SP1 sắp tới và những gì có thể download một cách miễn phí, “Remote Server Administration Tools” (RSAT) toolkit đã được cài đặt. RSAT sẽ có GPMC version 2 và các phiên bản đã được nâng cấp các công cụ quản trị mà chúng ta đã có trong gói các công cụ quản trị (Administration Tools Pack) cho các hệ thống Windows Server trước đây.
Các gói CSE sẽ được download hoàn toàn miễn phí từ website của Microsoft, chỉ cần triển khai phần mềm máy khách cho các máy tính Windows XP SP2 của bạn, Windows 2003 SP1 và Windows Vista (ví dụ bằng cách sử dụng Group Policy Software Installation).
Lưu ý:
Phiên bản cuối cùng của cả RSAT và Windows Server 2008 sẽ được phát hành vào quý đầu của năm 2008.
Kết luận
Windows Server 2008 và GPMC version 2 mang đến một số tính năng mới rất hữu dụng có liên quan đến Group Policy. Một số là những cải thiện nhỏ, một số khác là những cải thiện lớn. Nhưng phần lớn nó đều rất hữu dụng cho các quản trị viên trong hầu hết các môi trường… Group Policy Preferences cũng mang đến cho chúng ta những tính năng mới và rất hữu dụng mà có lẽ chúng ta chưa bao giờ có nó trước đó – và một điều đáng nói ở đây là bạn thậm chí không cần phải tốn quá nhiều tiền để có được nó!

[shomenuchi]

Jakob H. Heidelberg

Trong phần một của loạt bài này, chúng ta đã thảo luận về "Starter GPOs". Trong phần hai thì đi sâu vào nghiên cứu Group Policy Management Console (GPMC) version 2 và chức năng tìm kiếm mới của nó cũng như việc lọc và các tùy chọn “comment”. Phần ba đã giới thiệu cho bạn về Group Policy Preferences và trong phần này chúng tôi sẽ giới thiệu sâu hơn nữa về nó, về các vấn đề cụ thể như , Item level Targeting, Export/Import, Common options, Shortcuts và một số tính năng khác.

Bạn đọc hãy lưu ý rằng một số thông tin trong loạt bài này được xây dựng trên các thông tin của phiên bản Beta của Windows Server 2008 (Beta 3, RC0 and RC1). Chính vì vậy, một số tính năng cũng như hộp thoại có thể sẽ bị thay đổi đôi chút khi phiên bản cuối cùng được phát hành. Group Policy Preferences là một phần trong phiên bản Release Candidate 1 (RC1) beta của Windows Server 2008.

Actions

Với thiết lập Group Policy Preference (GPP), bạn có thể chọn một trong 4 tùy chọn khác nhau (xem trong hình 1). Các Action này sẽ phân biệt cách Client Side Extension (CSE) sẽ xử lý mục mà bạn ưu tiên như thế nào.

Hình 1: Tab General của Environment Properties

Dưới đây là những giới thiệu vắn tắt về các action được cung cấp:

1. Create = Tạo một thiết lập mới nếu nó không tồn tại trong máy mục tiêu.

2. Replace = Xóa thiết lập nếu nó tồn tại và sau đó thiết lập các thiết lập mới (“tạo lại”).

3. Update (default) = Action mặc định để thay đổi các thiết lập đang tồn tại. Nếu các thiết lập không tồn tại thì chúng sẽ được thiết lập.

4. Delete = Gỡ bỏ thiết lập ưu tiên của bạn trên máy tính mục tiêu.

Lưu ý:

Chúng ta hầu như có thể biết được action Migrate khi Microsoft phát hành một số bổ sung cho nút Applications (vấn đề này sẽ được giới thiệu nhiều hơn trong phần cuối của bài báo này).

Chọn đúng action là một điều quan trọng, tuy nhiên hầu hết các trường hợp tùy chọn mặc định (Update) có thể là tốt hơn cả.

Tab Common và thứ tự xử lý

Chúng ta hãy xem xét chi tiết hơn về tab Common của các thiết lập Group Policy Preferences. Đây chính là nơi mà chúng ta có thể chỉ định cách CSE sẽ xử lý thiết lập ưu tiên của riêng bạn như thế nào (hoặc “item”).

Hình 2: Tab Common của Environment Properties

Nếu bạn kích vào bất kỳ tab Common nào của Group Policy Preferences thì chúng đều có các tùy chọn giống nhau như những gì chúng tôi liệt kê dưới đây (mặc dù các tùy chọn không liên quan có thể không được hiển thị (màu xám) như trong hình 2):

"Stop processing items in this extension if an error occurs" thay đổi vấn đề quản lý lỗi mặc định. Nếu bất kỳ lỗi nào xuất hiện trong suốt quá trình Group Policy Preferences thì action mặc định sẽ tiếp tục với các ưu tiên tiếp theo theo dòng. Để thay đổi hành vi này, tùy chọn này có thể được chọn – điều này sẽ ngừng quá trình duy trì các item ưu tiên theo cùng một đuôi mở rộng/chủng loại bên trong GPO hiện hành.

"Run in logged-on user's security context (user policy option)" thay đổi nội dung của người dùng mặc định. Thông thường các ưu tiên được xử lý bằng cách sử dụng Local System account (SYSTEM), chọn tùy chọn này sẽ bảo đảm nội dung của người dùng được sử dụng thay vì nó. Network Drive và Printer Mappings sẽ bỏ qua thiết lập này vì chúng luôn luôn sử dụng nội dung bên trong của người dùng trong mọi hoàn cảnh.

"Remove this item when it is no longer applied" có thể gỡ bỏ các thiết lập ưu tiên khi người dùng hoặc máy tính rơi vào tình trạng không kiểm soát được. Tuy nhiên bạn phải cực kỳ cẩn thận với tùy chọn này vì phụ thuộc vào những action gì mà bạn chọn nó có thể gỡ bỏ toàn bộ các thiết lập (ví dụ như giá trị đăng ký) mà không chỉ đơn giản thay thế giá trị gốc như những gì bạn vẫn nghĩ. Khi chọn tùy chọn này, action “Update” sẽ được ép thực thi.

Ví dụ (một cảnh báo nhỏ)

Chúng ta hãy lấy một ứng dụng được viết mã từ trước để xem xét phần dưới đây của đăng ký, từ đó quyết định thiết lập riêng cho người dùng trong suốt quá trình start-up (nghĩa là truy vấn chủ đề ảo đã chọn của người dùng):
Current User > Software > Windowsecurity.com > MyTheme = "Default"

Khi một quản trị viên quyết định trao cho tất cả người dùng một chủ đề (theme) ảo nào đó trong ứng dụng được tạo bởi ưu tiên đăng ký Registry có gán khóa "MyTheme" với giá trị là "DeepPurple". Quản trị viên này cũng chọn tùy chọn "Remove this item when it is no longer applied" cho việc ưu tiên registry. Mọi thứ làm việc tốt trong một vài tháng và sau đó hệ thống có vấn đề và được nhận định là GPO không được liên kết – ý định ở đây là đưa trở về các giá trị gốc. Nhưng những gì sẽ xảy ra ở đây là giá trị chuỗi của registry "MyTheme" sẽ bị xóa toàn bộ - trong trường hợp xấu nhất khi ứng dụng bị gặp sự cố. Bởi vậy các nhà thạo chuyên môn đã khuyến khích bạn kiểm tra hành vi của tùy chọn này một cách kỹ lưỡng trước khi sử dụng nó trong môi trường sản xuất.

"Apply once and do not reapply" thay đổi hành vi mặc định, tùy chọn này nhìn chung là để xử lý thiết lập ưu tiên (preference) bằng cách refresh nền phụ. Mặc dù vậy cũng cần phải nói rằng, một số preference này chỉ được xử lý trong suốt quá trình đăng nhập một cách mặc định (ví dụ Network Drive và Printer Mappings). Với tùy chọn này, CSE áp dụng một mục preference cụ thể khi một lần và không bao giờ lặp lại. Từ điểm đó, người dùng có thể thực hiện bất cứ cái gì mà anh ta muốn với thiết lập preference của User Configuration – hoặc nếu nó là preference của Computer Configuration thì máy tính sẽ không bao giờ xử lý thiết lập preference này lại một lần nữa.

"Item-Level Targeting" là một kiểu bộ lọc giống WMI, nhưng chỉ cho thiết lập preference đã được chọn chứ không cho toàn bộ GPO (giống như các bộ lọc WMI) hoặc các preferences khác cho vấn đề đó. Các thông tin về vấn đề này sẽ được giới thiệu ở phần sau của bài này.

Thứ tự xử lý và các tùy chọn menu

Thứ tự xử lý của các item (mục) preference có thể được quyết định một cách thủ công bởi quản trị viên – hoặc bạn có thể thực hiện theo một thứ tự mặc định (thông thường là tốt).

Các mũi tên màu xanh lên và xuống (hình 3) cho phép bạn định nghĩa một cách thủ công thứ tự xử lý các ưu tiên preferences bên trong một mục nào đó.

Hình 3: Thứ tự xử lý và các tùy chọn của menu (cho mục "Local Users and Groups")

Dưới đây là những gì mà chúng tôi giới thiệu sơ qua về các tùy chọn của menu mà chúng ta có trong hình 3:

Biểu tượng dấu hỏi chấm cung cấp sự trợ giúp cho mục preferences. File trợ giúp này khá tốt và bao phủ hầu hết các tình huống chung.

Biểu tượng tài liệu cung cấp phương pháp hiển thị dữ liệu XML cho các mục đã được chọn.

Biểu tượng “Stop” đỏ cung cấp tùy chọn vô hiệu hóa mục ưu tiên đã được chọn hiện hành. Điều đó có nghĩa rằng CSE sẽ không xử lý mục này. Biểu tượng thay đổi thành mày xanh khi mục ưu tiên được vô hiệu hóa. Kích vào biểu tượng màu xanh sẽ kích hoạt trở lại preferences.

SYSVOL

Bạn có thể phân vân về cách các Group Policy Preferences làm việc như thế nào – và chắc hẳn là bạn cũng đã từng đoán về nó. Các preferences làm việc theo cùng một cách như kỹ thuật Group Policy thông thường, CSE lấy những gì mà nó cần từ SYSVOL và bảo đảm để áp dụng các thiết lập trên máy khác (hầu hết các trường hợp trong nội dung của tài khoản SYSTEM).

Hình 4: Các hạng mục khác nhau của Group Policy Preferences

Group Policy Preferences thực sự chỉ là các thư mục và file được bổ sung vào SYSVOL. Thư mục "Preferences" được tạo bên dưới thư mục "\User" (đối với User Configuration preferences) hoặc "\Machine" (đối với Computer Configuration preferences). Và mỗi hạng mục preferences (hình 4), một thư mục lại được tạo bên dưới thư mục "Preferences" (Hình 5).

Hình 5: Thư mục được tạo cho mỗi hạng mục Group Policy Preferences đã được kích hoạt

Bên dưới mỗi thư mục hạng mục, bạn sẽ thấy một file XML cho mỗi một thiết lập preferences của bạn, và có các tùy chọn cấu hình có liên quan,…

Item Level Targeting

Item Level Targeting (ILT) là một "bộ lọc - filter" bổ sung thêm trên GPO (WMI và các filter nhóm bảo mật), chúng chỉ áp dụng cho mục GP Preference riêng nào đó bên trong GPO chứ không phải toàn bộ GPO với tư cách các tùy chọn lọc đang tồn tại. Ví dụ, nếu bạn tạo GPO có một mục GPO bằng cách tạo một chia sẻ trên máy khách thì có thể thiết lập kiểu filter trên một mục riêng nào đó, điều đó để bảo đảm bạn chỉ “hit” máy tính hoặc người dùng áp dụng các thiết lập ILT đã định nghĩa. Bên trong một GPO riêng, bạn có thể có nhiều mục ưu tiên, mỗi một mục trong chúng lại có nhiều tùy chọn khác nhau.

Với ILT, bạn có thể sử dụng các chức năng logic, như And/Or và Not. Bạn có thể tạo bộ sưu tập (Collection) các chức năng logic để tạo sự linh động và thân thiện hơn với người dùng. ITL khá nhanh hơn các bộ lọc WMI vì chúng sử dụng API đính kèm của hệ điều hành thay vì của WMI.

Đây là một danh sách đầy đủ các điều kiện mà bạn có thể sử dụng trong ILT "filters":

Battery Present, Computer Name, CPU Speed, Date Match, Dial-Up Connection, Disk Space, Domain Environment Variable, File Match, IP Address Range, Language, LDAP Query, MAC Address Range, MSI Query, Operating System, Organizational Unit, PCMCIA Present, Portable Computer, Processing Mode, RAM, Registry Match, Security Group, Site, Terminal Session, Time Range, User hoặc một WMI Query tùy chỉnh.

Thêm vào đó bạn có thể bổ sung cả nhãn và các comment vào bộ sưu tập hoặc các mục ILT để có một cách nhìn tổng quan hơn – mục đích cho các môi trường lớn hơn.

Hình 6 thể hiện "Targeting Editor" với hai bộ sưu tập, mỗi bộ sưu tập lại có nhiều mục ILT kiểu Boolean (hoặc “các truy vấn”) – một trong những sưu tập đó phải đúng cho thiết lập ưu tiên riêng nào đó để áp dụng cho người dùng hoặc đối tượng máy tính.

Hình 6: Targeting Editor

ILT cung cấp cho chúng ta quyền điều khiển tối thượng cho những ai có mục ưu tiên nào đó.

Export & Import Group Policy Preferences

Group Policy Preferences của bạn có thể được export một cách rất dễ dàng. Chỉ cần kích chuột phải vào một preferences, chọn Copy và sau đó Paste vào desktop của bạn hoặc một số thư mục khác – một tài liệu XML sẽ được tạo. Tài liệu này gồm có mọi thứ mà bạn cần để import GPO vào một GPO khác (hoặc môi trường cho vấn đề đó). Để import một tài liệu XML, tất cả những gì bạn cần thực hiện đó là Copy và Paste tài liệu vào trong vùng preferences trong Group Policy Management Editor.

Mẹo:
Nếu bạn mở tài liệu XML (bằng sử dụng mặc định Notepad, XML Notepad, Internet Explorer hoặc bất cứ ứng dụng nào khác) thì sẽ có thể nhận ra các thiết lập của preferences – chúng gồm có cấu hình ILT. Nếu bạn đã mở, hãy copy phần ILT vào các chính sách khác, nơi cần "filter" chính xác – công việc này hoàn toàn rất dễ dàng. Mẹo này có thể rất hữu dụng nếu bạn có một "filter" ILT nào đó áp dụng cho rất nhiều mục preferences khác.

Shortcut, màu và các biến

Một số tùy chọn “ẩn” cũng được cung cấp trong ở các vị trí khác nhau bên trong giao diện người dùng Group Policy Preferences. Bạn có thể sẽ phân vân về những dòng (trong hình 7) hoặc vòng tròng (trong hình 8) màu xanh.

Hình 7: Các thuộc tính của Folder Options và các dòng được tô màu

Dòng màu xanh bên dưới một thiết lập nào đó, ví dụ như dòng "Hide extensions for known file types" trong Folder Options preference ở hình trên, chỉ thị rằng nó phải được xử lý bằng CSE. Dòng chấm đỏ có nghĩa thiết lập sẽ không được xử lý bằng CSE dù có giá trị nào được cấu hình đi chăng nữa. Bên dưới Internet Explorer Properties bạn sẽ thấy các trường hợp sử dụng màu giống nhau, mặc dù vậy lúc này nó không phải là các dòng nữa mà là các vòng tròn – nghĩa của màu cũng tương tự như vậy.

Hình 8: Các thuộc tính của Internet Explorer và các vòng tròn được tô màu

Đây là những giới thiệu sơ qua về một số shortcuts làm cho quá trình này dễ dàng thiết lập dù có hay không các mục preferences được xử lý bởi CSE:

F5: Định nghĩa tất cả các thiết lập trong hộp thoại – cho phép xử lý tất cả các thiết lập trong cửa sổ hộp thoại. Rất hữu dụng nếu bạn đã vô hiệu hóa một số thiết lập và sau đó muốn thiết lập lại biểu mẫu.

F6: Định nghĩa thiết lập đã chọn hiện hành – Cho phép xử lý một thiết lập đơn trong cửa sổ thoại. Hữu dụng nếu bạn đã vô hiệu hóa một thiết lập bằng F7 và muốn kích hoạt trở lại mục đó.

F7: Không định nghĩa thiết lập hiện đã chọn – Vô hiệu hóa việc xử lý thiết lập đơn trong cửa sổ thoại. Hữu dụng nếu bạn muốn “tránh” một thiết lập khỏi việc được nâng cấp hoặc thay đổi trên máy khách.

F8: Không định nghĩa bất kỳ thiết lập nào trong hộp thoại – Vô hiệu hóa việc xử lý tất cả các thiết lập trong cửa sổ thoại. Hữu dụng nếu bạn muốn ngăn chặn tất cả các thiết lập trên một tab đang được thiết lập trên máy khách.

Các biến

Trong nhiều trường hơp, sẽ rất hữu dụng để nếu sử dụng các biến cho các giá trị thiết lập khác nhau trên máy tính hoặc người dùng. Việc nhấn phím F3 sẽ liệt kê cho bạn một danh sách các biến (xem trong hình 9). Tùy chọn "Resolve Variable" nên được chọn vì điều đó sẽ dịch các biến khi preferences được xử lý trên trình khách – hoặc nếu không nó sẽ chỉ hiển thị tên biến, ví dụ "%AppDataDir%", đó thực sự lại không phải thứ bạn thực sự cần.

Hình 9: Hộp thoại chọn các biến chung (phím F3)

Khả năng bổ sung

Chúng tôi không thể giới thiệu toàn bộ công nghệ Group Policy Preferences trong bài này, tuy nhiên sẽ đề cập vắn tắt đến một số khả năng:

Việc ghi chép và lần vết

Nó hoàn toàn có thể thiết lập việc ghi chép chi tiết các hành vi CSE – mỗi một hạng mục preferences lại có chính các tùy chọn bản ghi của riêng nó (ví dụ "Data Sources Policy Processing", "Environment Policy Processing", "Registry Policy Processing" …). Group Policy có thể được áp dụng để làm cho các CSE khác nhau có thể ghi những gì đang diễn ra đằng sau kịch bản. Đôi khi việc khắc phục sự cố bên trong các file bản ghi chỉ là cách dẫn tới thành công, nhưng mặc định việc ghi chép này không được bật. Bạn sẽ thấy các thiết lập ghi chép và lần vết này theo đường dẫn bên dưới:
Computer Configuration | Policies | Administrative Templates | System | Group Policy | Logging and tracing

Các sự kiện

Bản ghi Windows Application gồm có thông tin sự kiện cho mỗi hạng mục Group Policy Preferences. Mỗi hạng mục lại có tài nguyên sự kiện của chính nó, làm cho việc lọc bản ghi sự kiện trở nên dễ dàng.

Các thiết lập và báo cáo kết quả

Một cố gắng tuyệt vời đã được tiến hành để cho phép các quản trị viên có thể tạo báo cáo thiết lập bên trong GPMC như các Group Policy kiểu cũ. Điều này có thể giữ được các nhiệm vụ về mặt tài liệu một cách rất đơn giản và cung cấp cách nhìn tổng quan tuyệt vời cho một chính sách nào đó.

Những thứ tương tự cũng được thực hiện với báo cáo kết quả của Group Policy – chúng gồm các preferences, mặc dù vậy, các cấu hình Item-Level Targeting lại không được tính (có thể vì chúng sử dụng các API cục bộ thay vì WMI).

Các ứng dụng

Tại thời điểm này, chưa có thông báo chính thức nào từ phía Microsoft về preferences của ứng dụng, thứ mà chúng tôi cũng có với DesktopStandard PolicyMaker (Xem hình 10). Nội dung cho Application preference hoàn toàn trống rỗng mặc định, và sẽ được cung cấp với tư cách là một download riêng trong tương lai.

Hình 10: Các preferences của ứng dụng với PolicyMaker

Mã hóa

Nếu bạn lo lắng về mật khẩu về các tài khoản người dùng, tài khoản dịch vụ, tài khoản đăng nhập nhiệm vụ được lịch trình,… được lưu trữ như thế nào (biết rằng các file XML đơn giản được sử dụng cho các preferences), thì chúng tôi có thể nói rằng, chúng đã được mã hóa. Chúng tôi không biết thuật toán được sử dụng cho chúng là gì, nhưng có thể cho bạn biết rằng một mật khẩu có thể được dịch thành "wWHIrHyXsbFpBhpQ/fMKbwEEg3Ko0Es+RskCj/W6F8I" và "VPe/o9YRyz2cksnYRbNeQmFQgz60no44B/3YywYtmYU" – chính vì vậy không ai có thể đoán được?

Các chính sách và preferences có liên quan

Như những gì bạn đã thấy, chúng tôi có một số chồng lấp lên các chính sách thông thường và các preferences. Ví dụ cho các thiết lập Internet Explorer, triển khai máy in, các tùy chọn công suất, bảo mật file, hạn chế các thiết bị và thiết lập dịch vụ - nhưng các bạn cũng không nên quá lo lắng! Hãy coi đây như một cơ hội mới thay vì phải lo lắng về việc tùy chỉnh môi trường, chính xác là cách mà bạn muốn nó sẽ trở lên linh động hơn với các công nghệ tương tự nhau.

Làm thế nào để có được những thứ này

Hầu như thứ không thể tin được khi nói đến Group Policy Preferences là nó được cung cấp đến bạn gần như MIỄN PHÍ từ Microsoft.

Tất cả thứ mà bạn cần là một môi trường Windows Server 2003 hoặc 2008, một hệ điều hành Windows Vista with Service Pack 1 và đã được load Remote Server Administration Toolkit (RSAT). Sau đó bạn có thể sử dụng môi trường Vista SP1 để soạn thảo GPO và gộp các tham chiếu preferences đã chọn. Windows Server 2008 cũng có thể được sử dụng như một trạm quản lý Group Policy.

Để làm cho preferences làm việc trên các máy tính của công ty, chúng cần phải cài đặt CSE client. Một client như vậy sẽ được cung cấp download cho Windows XP và các hệ điều hành thế hệ sau (CSE được thiết kế kèm theo trong Windows Server 2008). CSE client (một file MSI nhỏ) có thể được cài đặt bằng cách sử dụng bộ cài đặt Group Policy Software Installation (GPSI). Windows 2000 không hỗ trợ vấn đề sử dụng các Group Policy Preferences của Microsoft. Và bạn cũng lưu ý rằng các preferences đó cũng không được cung cấp trong các chính sách cục bộ.

Kết luận

Windows Server 2008 và GPMC version 2 mang đến cho chúng ta nhiều tính năng mới tuyệt vời có liên quan đến Group Policy. Một số là những cải thiện nhỏ, một số là những cải thiện lớn. Phần lớn trong chúng nói chung đều rất hữu dụng cho các quản trị viên trong hầu hết các môi trường.

Group Policy Preferences sẽ cho phép chúng ta thực hiện việc cấu hình đơn giản hơn thông qua các giao diện sử dụng chung, giảm sự cần thiết phải tạo và viết các kịch bản cấu hình phức tạp, có khả năng linh động (một quản trị viên có thể cấu hình ban đầu một mục preferences và cho phép người dùng có thể thay đổi các thiết lập sau này), bạn cũng sẽ cần ít các image hơn, có thể cấu hình bổ sung và các tùy chọn bảo mật (đã đề cập trong phần ba của loạt bài này) mà không cần phải tốn nhiều tiền để có được nó!



Văn Linh (Theo Windows Security)