Kho chứa ADM Template
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (252.99 KB, 7 trang )
Kho chứa ADM Template
Nếu bạn đã từng làm việc với Active Directory thì có
lẽ đã biết về Group Policy. Một trong những thành
phần chính của Group Policy Object là điều khiển
trên Registry. Registry điều khiển bên trong Group
Policy này được quản lý chính bởi cả các mẫu quản
trị. Các mẫu quản trị này có rất nhiều lợi ích, tuy
nhiên chúng cũng có một số nhược điểm.
Một trong những nhược điểm có thể gây ra các vấn đề liên quan đến
việc điều khiển sự
quản lý các mẫu khi các phiên bản mới xuất hiện.
Tuy nhiên có một giải pháp không những chỉ giải quyết được vấn đề
này mà còn nhiều vấn đề khác xung quanh các mẫu này. Ở đây, bạn
sẽ thấy một giải pháp - giải pháp kho chứa - có thể giải quyết được
nhiều vấn đề có liên quan tới các mẫu quản trị.
Những cơ bản về các mẫu quản trị
Các mẫu quản trị là các file văn bản có mã đơn giản để giúp Group
Policy có thể thực hiện một số thay đổi Registry tùy chỉnh. Các mẫu
này được chứa trong file có đuôi .ADM, đó cũng là lý do giải thích cho
việc các file có đuôi này xuất hiện ở đây. Chúng thực sự cần thiết đối
với Group Policy vì chúng có thể thực hiện hai chức năng khác nhau.
Chức năng đầu tiên mà mẫu ADM thực hiện là tạo các chính sách và
thiế
t lập bên trong Group Policy Object Editor. Tất cả các thiết lập được
tạo từ mẫu ADM được thể hiện dưới các nút Administrative Templates,
bạn có thể xem trong hình một để có thể thấy rõ hơn điều này.
Hình 1: Các nút của thành phần Administrative Templates được tạo
thành bởi mẫu ADM có trong GPO.
Mỗi một mẫu ADM lại có những thông tin cho cả người dùng và máy
tính trong GPO. Có một số từ khóa được sử dụng trong mẫu ADM để
phân biệt hai phần này.
Chức năng thứ hai của mẫu này có liên quan đến mối quan hệ của
người dùng và các thiết lập máy tính được tạo bên trong các file. Các
mẫu ADM cũng chỉ thị chính xác đường dẫn Registry, giá trị, dữ liệu
mà mỗi thiết lập thay đổi. Tất cả thiết lập người dùng trong các mẫu
ADM sẽ cập nhật phần HKEY_CurrentUser của Registry, nơi các thiết
lập máy tính cập nhật vùng HKEY_Local_Machine trong Registry. Hình
2 sẽ thể hiện một entry điển hình trong mẫu ADM có cập nhật một
entry của Registry.
Hình 2: Cú pháp ADM template chỉ thị HKEY, đường dẫn, giá trị và dữ
liệu cho mỗi thiết lập được tạo bên trong mẫu.
Các mẫu ADM mặc định
Với Windows Server 2003, các GPO của có có tổng số 5 mẫu ADM mặc
định. Các mẫu ADM này được liên kết với nhau để quản lý điều khiển
khía cạnh nào đó của Administrative Templates trong GPO, bạn có thể
xem chi tiết trong bảng 1.
Mẫu ADM Chức năng của các mẫu
Conf.adm NetMeeting
Inetres.adm Internet Explorer
System.adm Các thiết lập hệ thống chung
Wmplayer.adm Windows Media Player
Wuau.adm
Windows Update/Automatic
Update
Bảng 1: Mỗi mẫu ADM đều được thiết kế để kiểm soát các thiết lập nào
đó trong GPO.
Kích thước của toàn bộ các mẫu mặc định này gần 4MB. Do các file
này không nhiều nên chúng chỉ cần ít không gian.
Sự phình lên của mẫu ADM
Để hiểu về sự phình lên của mẫu ADM, bạn phải hiểu cách GPO được
lưu như thế nào. Mỗi GPO được chia nhỏ thành hai phần và mỗi một
phần được lưu trong một vị trí khác nhau trên các bộ điều khiển miền.
Phần có tên Group Policy Container (GPC), được lưu như một đối tượng
trong Active Directory. Vai trò chính của phần này đối với GPO là giữ
tất cả các liên kết, vị trí và đường dẫn về các mặc khác của GPO một
cách tinh tế. GPC không có bất kỳ một thiết lập nào hoặc mẫu nào.
Phần thứ hai của GPO có tên gọi là Group Policy Template (GPT), phần
này được lưu dưới các file nằm dưới SYSVOL trên bộ điều khiển miền
(domain controller). Đường dẫn chính xác của GPT là
c:\Windows\SYSVOL\sysvol\<domainname>\Policies\<GUID of GPO>.
Phần của GPO này chịu trách nhiệm 100% cho vi
ệc lưu các thiết lập
được cấu hình trong GPO. Không chỉ thực hiện lưu các thiết lập rất
nhiều file mà nó còn phải giữ một bản copy các mẫu ADM này, bạn có
thể xem trong hình 3.
Hình 3: Các mẫu ADM được lưu trong mỗi GPT
Vấn đề về việc phình lên đối với ADM là mỗi GPT lại lưu một bản copy
các mẫu ADM chứ không phải chỉ một bản. Chính vì vậy, nếu bạn có
nhiều mẫu ADM thì tổng số không gian chúng cần sẽ bị phình ra. Có
nhiều công ty có tới trên một ngàn GPO, và mất đến khoảng 4GB
không gian để lưu trữ các mẫu ADM này.
Ngoài việc cần đến nhiều không gian, các mẫu ADM này cũng cần được
tái tạo lại đối với tất cả các bộ điều khiển miền. File Replication Service
(hiện được gọi là DFS Replication trong một số phiên bản của
Windows) chịu trách nhiệm cho việc tái tạo này.
Kiểm tra phiên bản ADM
Một giải pháp để khắc phục hiện tượng phình lên đối với mẫu ADM này
đơn giản là xóa chúng từ GPT. Điều này nghe có vẻ mang tính chất lý
thuyết, tuy nhiên các điều khiển mặc định của mẫu ADM lại chỉ thị
rằng mẫu ADM từ các GPT chỉ nên sử d
ụng khi soạn thảo GPO.
Để hiểu quá trình hệ thống kiểm soát các mẫu ADM như thế nào,
chúng ta hãy kiểm tra một GPO sử dụng các mẫu ADM khi nó được
soạn thảo ra sao.
1. Khi một GPO mới được soạn thảo ra, các phiên bản nội bộ của mẫu
ADM sẽ được copy đến một thư mục ADM trong GPT.
2. Với những soạn thảo sau đó của GPO, hệ thống sẽ so sánh tem
ngày của mẫu ADM đã đựơ
c lưu trong GPT đối với mẫu ADM được lưu
trên máy trong quá trình thực hiện quản trị. Nếu phiên bản nội bộ của
GPO có tem ngày mới hơn thì nó sẽ được copy vào GPT, ghi đè lên
phiên bản cũ.
3. Nếu GPT hoặc máy tính đang thực hiện soạn thảo GPO mà lại không
có bản copy của ADM thì phần này của nút Administrative Templates
trong GPOE sẽ không được cung cấp. Chúng gồm có các mẫu ADM mặc
định hoặc các mẫu ADM tùy chỉnh.
Can thiệp vào các mẫu ADM
Sự can thiệp đôi khi có thể gây ra những vấn đề nghiêm trọng đối với
việc quản lý toàn bộ Group Policy. Nó không chỉ có thể gây ra các vấn
đề với việc tái tạo và lưu trữ mà còn biết được các phiên bản của các
mẫu ADM được cập nhật nhanh chóng, và có thể tiềm ẩn những vấn đề
không hay. Nếu một quản trị viên nào đó có ý không tốt đã thực hiện
