Tài liệu Hướng dẫn khắc phục sự cố trong Group Policy doc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (200.83 KB, 6 trang )
Hướng dẫn khắc phục sự cố trong Group Policy
Microsoft Active Directory đã trở thành một thành phần không thể thiếu của rất nhiều hệ
thống IT trên thế giới. Một thành phần quan trọng nhất trong Active Directory là Group
Policy, cho phép người quản trị tập trung quản lý các domain controllers, các máy chủ, các
máy cá nhân.
Trong khi Group Policy cung cấp rất nhiều tác dụng, nhưng nó có một phần nhỏ hoạt động
chưa thực sự trơn tru. Nó có thể rất phức tạp từ thiết kế tới triển khai trong một tổ chức lớn
và điều đó sẽ sảy ra rất nhiều rắc rối cần phải giải quyết mà đôi khi vài thứ trở thành những
điều không mong muốn. Trong bài viết này, tôi sẽ giới thiệu với các bạn cấu trúc của
Group Policy và cách bạn giải quyết những sự cố thường gặp. Kết thúc bạn sẽ có tất cả
những điều tổng quan để từ đó tạo ra những Group Policy hợp lý cho môi trường của bạn.
Trouble some Settings - Giải quyết vài sự cố về thiết lập cấu hình
Có nhiều vấn đề với Group Policy, đặc biệt nhất là liên quan tới giao điện cách nào việc
với Active Directory và việc thiết kế và triển khai nó. Khi bạn giải quyết những sự cố
nhiều dạng về truy cập và mạng được sự dụng, bạn phải luôn luôn làm việc với Active
Directory và cơ bản về cách triển khai Group Policy trong quá trình nghiên cứu và giải
quyết vấn đề đó. Để bắt đầu giải quyết sự cố, trước tiên bạn phải tìm kiếm các thiết lập
Group Policy có thiết thiết lập sai, sau đó khi bạn kiểm tra hết phần này đến phần khác rồi
bạn trở lên phức tạp vấn đề và điều này dẫn tới việc hỏng hóc trong các chính sách trong
Group Policy.
Các thiết lập Group Policy được xem lại bởi người quản trị Active Directory sử dụng các
Administrative Template Files (ADM hay ADMX file) và Group Policy Object Editor, hay
GPEdit (với câu lệnh này nó sẽ chạy file gpedit.msc). Sử dụng GPEDit, người quản trị có
thể tạo ra các file Group Policy Object hay GPOs. GPOs được cấu hình và áp dụng hoặc
không được áp dụng (not apply) cho các máy tính hay các người dùng (computers or users)
tại các vị trí trong cấu trúc của Active Directory. Sẽ có một số lượng các GPOs được áp
dụng theo thứ tự từ trên xuống với mỗi thành phần được lựa chọn.
GPO Must Be Linked.
Khi GOP được tạo ra, nó có thể không được liên kết tới các vùng trong Active Directory.
Trong trường hợp GPO được chỉnh sửa lại, nó sẽ không áp dụng với các đối tượng cho đến
khi được liên kết tới vùng đó. Bạn cần phải chắc chắn răng GPO được tạo ra và liên kết
đúng vào những đối tượng cần áp dụng chính sách quản lý đó. Bạn có thể xem các thông
tin đó trong Group Policy Management Console (GPMC) được hiển thị dưới hình sau đây:
Hình 1 GPO Links Are Clearly Shown
GPO Must Target Correct Object.
Như bạn đã biết, Group Policy phải được liên kết với đúng những đối tượng cần thiết trong
Active Directory. Tuy hiên, đôi khi trong những lần giải quyết sự cố với một GOP, có hai
vấn đề bạn cần phải quan tâm đó là computer và user. Khi bạn cấu hình một GPO, phải
chắc chắn một điều là nó sẽ được áp dụng cho computer hay user. Sau khi bạn kiểm tra
đúng các đối tượng cần áp dụng trong một OU thì bạn thực hiện liên kết GPO đó tới OU
cần thiết.GPOs Don't Apply to Groups
Một vấn đề mà bạn cần phải biết là, một GPO không thể áp dụng cho một Security Group
trong Active Directory. Chỉ có hai đối tượng mà GPO có thể áp dụng là Computers và
Users. Bạn không thể cấy hình GPO qua các đối tượng là thành viên trong nhóm. Ví dụ:
Nếu một GPO liên kết tới một OU là Finance, hiển thị với hình dưới đây, thì chỉ hai đối
tượng sẽ bị ảnh hưởng bởi các thiết lập là Derek và Frank. Các thiết lập sẽ không ảnh
hưởng tới các thành viên khác thuộc group Marketing, những người không nằm trong OU
này.
Hình 2 Finance OU and the Objects Within It
Target Object Must Be in the Path of the GPO.
Khi bạn quan tâm tới sự ảnh hưởng của GPO tới một đối tượng, một vấn đề quan trọng
hơn nữa là phải quan tâm tới mức độ ảnh hưởng Scope of Management (SOM) của GPO.
Có nghĩa là một đối tượng muốn chịu sự ảnh hưởng của GPO thì nó phải nằm trong OU
mà GPO liên kết tới. Trong ví dụ dưới đây khi không có một đối tượng nào trong OU
Marketing thì nó sẽ chịu ảnh hưởng bởi một GPO liên kết tới OU Finance, được hiển thị
hình dưới. Sự ảnh hưởng của một GPO tính từ vùng nó liên kết tới (node where it linked)
tới các OU đứng sau nó trong cấu trúc của Active Directory nhưng các OU bị ảnh hưởng
chỉ cùng một Level mà thôi.
GPO Needs To Be Enabled.
Khi một GPO được tạo ra, nó sẽ không cấu hình cho tới khi bất kỳ sự thay đổi nào tới
những đối tượng trong nó. Tuy nhiên, nó có thiết lập cho cả Computer và User. Khi bạn
giải quyết sự cố với những GPO không áp dụng bạn phải xem xem GPO đó có bị Disable
vấn đề nào không, và bạn có thể sử dụng Group Policy Object|Account Policy trong
GPMC và kiểm trả trạng thái của GPO.Some Settings Need a Reboot
Khi một GPO được thiết lập mà không hoạt động, nó có thể là do chúng kế thừa từ những
GPOs khác. Và điều đó những thiết lập đó có thể sẽ không hoạt động cho đến lần khởi
động sau, hoặc khi user logs off và log in trở lại.
Synchronous and Asynchronous Application of Settings.
Một vấn đề khác mà khi bạn giải quyết sự cố cần phải quan tâm đó là đồng bộ hay không
đồng bộ các thiết lập của mình. Với một GPO bạn có thể cấu hình áp dụng chính sách khi
khởi động và khi người dùng logon hệ thống. Sự thay đổi đó sẽ tạo ra tính năng bắt buộc
người dùng được cung cấp các thiết lập, và chắc chắn một điều rằng toàn bộ các chính sách
được áp dụng trước khi user truy cập vào desktop. Với các thiết lập mặc định các hệ điều
hành có thể không được cung ứng.
When OUs Are at the Same Level, GPOs Only Apply to the OU Where It Is Linked
Operating System: Windows 2000
Startup: Synchronously
Logon: Synchronously
Policy Refresh: Asynchronously
Operating System: Windows XP Professional
Startup: Asynchronously
Logon:Asynchronously
Policy Refresh: Asynchronously
Operating System: Windows Server 2003
Startup: Synchronously
Logon:Synchronously
Policy Refresh: Asynchronously
với thiết lập sau toàn bộ hệ thống sẽ luôn đồng bộ các chính sách được thiết lập
computer configuration | administrative templates |
System | Logon | Always wait for the network at computer startup and logon
Hầu hết các nhà quản trị đều lựa chọn việc đồng bộ cho các chính sách đã được thiết lập và
điều đó chắc chắn một điều rằng toàn bộ các chính sách đó sẽ được áp dụng trước khi
người dùng truy cập vào hệ thống. Tất cả các thiết lập bảo mật cũng được áp dụng cho
người dùng. Chú ý một điều rằng Windows XP Professional, luôn cấu hình để tối ưu cho
tốc độ logon vào hệ thống.
Thay đổi kiểu kế thừa mặc định
Có bốn cách khác nhau có thể sử dụng để thay đổi cách kế thừa từ mặc định của một tiến
trình của GPO. Với những tuỳ chọn mang đến hiệu quả áp dụng cho nhiều cách khác nhau.
Nó có thể tạo ra điều kiện vô cùng khó khăn trong việc giải quyết những sự cố liên quan.
Với tuỳ chọn có thể thay đổi mặc định bao gồm 4 thiết lập sau:
Block policy inheritance
GPO enforcement
GPO filtering of the access control list (ACL)
Windows Management Instrumentation (WMI) Filters
Handy Tools – các công cụ
Có rất nhiều công cụ giúp bạn giải quyết những vấn đề trong Group Policy. Có vài công cụ
