Tài liệu Lập kịch bản và tự động tuỳ chỉnh Group Policy pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (420.61 KB, 8 trang )
Lập kịch bản và tự động tuỳ chỉnh Group Policy
Ngu
ồn : quantrimang.com
Derek Melbe
r
Đôi khi Group Policy Management Console (GPMC) sẽ không cung cấp đủ
khả năng linh hoạt trong việc thực hiện nhiệm vụ lớn. Trong trường hợp
thiết lập, thay đổi hay gỡ bỏ những ủy nhiệm đối với một số lượng lớn các
GPO, thì GPMC có thể khiến bạn gặp một số khó khăn hay có thể nói là
cồng kềnh. Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn một cách
khác hoàn toàn dễ dàng h
ơn rất nhiều. Giải pháp ở đây là sử dụng việc lập kịch
bản GPMC của Microsoft. Các kịch bản này có khá nhiều và cũng đã được cập
nhật, nâng cấp để hỗ trợ cho Windows Vista và Windows Server 2008. Với
chúng, bạn hoàn toàn có thể thay đổi các điều khoản trên một hoặc tất cả các
GPO một cách dễ dàng.
Các ủy nhiệm đối với GPO
Trước khi bắt đầu việc l
ập kịch bản và tự động ủy nhiệm cho các GPO, có một
vấn đề quan trọng cần lưu ý đó là bạn phải biết mình có những tùy chọn (option)
nào. Tất cả ủy nhiệm được liệt kê dưới đây có thể được thiết lập bằng sử dụng
GPMC, tuy nhiên phương pháp đó có thể gây tốn nhiều thời gian. Với việc quản
lý GPO, bạn có các tùy chọn sau:
Tạo các GPO
Đ
ây là một nhiệm vụ được ủy nhiệm cho toàn bộ miền, tuy nhiên nó được cấu
hình tại nút Group Policy Objects bên trong GPMC, xem trong hình 1.
Hình 1: Sự sáng tạo của các GPO là một uỷ nhiệm trung tâm miền
Liên kết GPO
Khả năng liên kết GPO đến một nút trong Active Directory là rất mạnh. Khi GPO
được liên kết, các đối tượng dưới nút (miền, site hoặc các đơn vị tổ chức) sẽ bắt
đầu một cách hoàn toàn tự động để nhận thiết lập chính sách trong các GPO
được liên kết. Hình 2 minh chứng tùy chọn ủy thác cho các GPO đang liên kết
với một nút.
Hình 2: Các GPO đang liên kết được ủy thác ở mức Site, miền hoặt đơn vị tổ
chức
Soạn thảo quản lý các GPO
Khả năng soạn thảo GPO là một chức năng tuyệt vời, đặc biệt nếu GPO đó đã
được liên kết với một nút trong Active Directory. Chính vì vậy cần phải kiểm soát
những ai có thể soạn thảo là một điểm mấu chốt. Có hai mứ
c soạn thảo, một
mức cho phép xóa và thay đổi độ bảo mật cho GPO. Các ủy thác này được thực
hiện ở mức GPO, như thể hiện trong hình 3.
Hình 3: Soạn thảo và quản lý (hoàn toàn) các GPO được ủy thác trên một GPO
bởi GPO cơ sở
Sử dụng các kịch bản GPMC để tự động hóa sự ủy thác bảo mật GPO
Các kịch bản GPMC cho phép bạn có thể tạo các thay đổi tương tự đối với việc
bảo mật GPO mà GPMC GUI thực hiện, tuy nhiên nó cho phép bạn có thể thực
hiện các nhiệm vụ lớn hơn với thời gian nhanh hơn. Gi
ả dụ rằng bạn đã cài đặt
Advanced Group Policy Management (AGPM) của Microsoft. Trước khi có thể
sử dụng AGPM, bạn phải thay đổi các điều khoản đối với tất cả các GPO bên
trong GPMC để bảo đảm rằng các quản trị viên không thể soạn thảo chúng
thông qua GPMC. Nếu đều này không được thực hiện thì GPO trong sản xuất
(được giới thiệu trong GPMC) có thể dễ mất đồng bộ với GPO mà bạn import
vào trong môi tr
ường AGPM. Để gỡ bỏ và thiết lập lại các điều khoản cho nhiều
GPO nhằm mục đích thiết lập thì đây hoàn toàn là một nhiệm vụ khó khăn. Mặc
dù vậy, với kịch bản GrantPermissionOnAllGPOs.wsf, nhiệm vụ này có thể được
thực hiện một cách nhanh chóng! Các kịch bản của GPMC khác cũng thực hiện
các chức năng tương tự như được mô tả bên dưới.
Lư
u ý:
Để download các kịch bản GPMC, bạn hãy vào địa chỉ sau Group Policy
Management Console Sample Scripts.
GrantPermissionOnAllGPOs.wsf
Kịch bản này sẽ thừa nhận một điều khoản nào đó cho một người dùng hoặc
một nhóm trong tất cả GPO nằm trong miền. Vấn đề này sẽ xuất hiện đối với
GPO thậm chí nó không được liên kết với nút Active Directory. Khóa chuyển đổi
thay thế này rất hữu dụng vì nó có thể gỡ bỏ các điều khoản đang tồn tại và thay
thế bằng các
điều khoản mới. Nếu một điều khoản được chỉ định cho một nhóm
bảo mật nào đó đã tồn tại trên danh sách điều khoản cho GPO thì hai điều khoản
cao hơn sẽ được thay thế trong nhóm bảo mật (trừ khi khóa chuyển đổi thay thế
này được sử dụng)
Cú pháp
Usage: GrantPermissionOnAllGPOs.wsf GroupName /Permission:value
[/Replace] [/Q] [/Domain:value]
GroupName: The security principal to grant permissions to
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or
'None'
Replace: Specifies that any existing permissions should be replaced
Q: Quiet mode - do not display a warning before executing the script
Domain: DNS name of domain
Ví dụ
cscript GrantPermissionOnAllGPOs.wsf "GPO Admins" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Warning! By executing this script, all GPOs in the target domain will be updated
with the desired security setting.
Both the Active Directory and Sysvol portions of the GPO will be updated. This
will result in the Sysvol contents of every GPO being copied to all replica domain
controllers, and may cause excessive replication traffic in your domain.
If you have slow network links or restricted bandwidth between your domain
controllers, you should check the amount of data on the Sysvol that would be
replicated before performing this task.
Do you want to proceed? [Y/N] y
Updated GPO 'Default Domain Policy' to 'Edit' for GPO Admins
Updated GPO 'Default Domain Controllers Policy' to 'Edit' for GPO Admins
SetGPOCreationPermissions.wsf
Kịch bản này cho phép hoặc gỡ bỏ khả năng tạo các GPO trong một miền đối
