Group Policy trong Windows Server 2008 - Phần 2: GPMC
Version 2
Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu
cho các bạn về “Starter GPO”. Phần hai này sẽ giới
thiệu đến các bạn Group Policy Management Console
(GPMC) version 2 và các tùy chọn trong việc tìm kiếm,
lọc và ghi chú.
Bài tiếp theo trong loạt bài này sẽ giới thiệu tất cả những khả năng
mới với các thiết lập chính sách mới cho Windows Server 2008, Group
Policy Preferences Extensions và nhiều hơn thế nữa…
Lưu ý:
Bạn cần lưu ý rằng một số thơng tin trong bài viết này dựa hồn tồn
trên thơng tin thu được từ các phiên bản Beta của Windows Server
2008 (Beta 3, RC0 và RC1). Vì vậy, một số tính năng và hộp thoại có
thể thay đổi trước khi phiên bản cuối cùng được phát hành.
Một số ghi chú cá nhân
Bạn có thể biết một vấn đề là tên của Group Policy Object (GPO)
khơng thực sự nói lên GPO sẽ làm gì, ai đã thiết lập nó để thực hiện
hoạt động như hiện tại và tại sao nó cần phải được thiết lập như vậy.
Phần “nó thực hiện những gì” có thể được thấy tại tab Settings trong
Group Policy Management Console (GPMC).
GPMC version 2.0 có hai kiểu thành phần ghi chú khác nhau. Các ghi
chú này có thể được sử dụng trong các trường hợp như nêu trên – và
tất nhiên còn phụ thuộc nhiều hơn vào nhu cầu của bạn.
Kiểu đầu tiên của loại đánh giá bình luận này mà chúng tơi sẽ quan
sát là GPO comment chính - bạn có thể có một trong những comment
tổng qt trên mỗi GPO.
Có một cách (thơng thường) để soạn thảo kiểu ghi chú này, đó là bằng
cách kích chuột phải vào đối tượng chính sách bên trong Group Policy
Management Editor (GPME) và chọn “Properties” (xem hình 1).

Hình 1: Chọn Properties của GPO
Trong các thuộc tính của GPO đã được chọn, bạn sẽ thấy một tab mới
có tên gọi là “Comment”, xem hình 2.

Hình 2: Tab Comment mới trên GPO
Trong trường văn bản bạn có thể đánh vào bất cứ ghi chú gì cần thiết.


Bạn có thể tạo theo một cú pháp cơng ty sử dụng, để bảo đảm rằng
tất cả các thông tin có liên quan khơng bị rị rỉ. (Ví dụ, “Ai đã yêu cầu
cho GPO này”, “Ai đã tạo GPO này”, “Thơng tin liên hệ”…). GPO
comment có thể được xem từ GPMC trên tab Details – cùng với thông
tin GUID, dữ liệu tạo và ngày thay đổi cuối cùng..., tất cả đều có ngay
trong phiên bản đầu tiên của GPMC (xem hình 3).

Hình 3: GPO comment được quan sát từ tab Detail GPMC
Kiểu thứ hai của comment cũng được cung cấp trên các thiết lập
Group Policy riêng lẻ - không cho bản thân GPO mà cho mỗi thiết lập
bên trong nó! Đó là một dấu hiệu tốt - mặc dù vậy vấn đề ở đây là
điều đó chỉ đúng cho các thiết lập chính sách Administrative Template
(cả User Configuration và Computer Configuration). Hình 4 hiển thị
một ví dụ về Security Setting/Password Policy – và như những gì bạn
có thể nhìn thấy ở đây khơng có tab Comment.


Hình 4: Khơng tab Comment, chỉ có các tab cũ
Tab Comment hiện lên các thiết lập chính sách bên trong thiết lập
Administrative Template (xem hình 5).


Hình 5: Tab Comment được hiện diện


Với GPO comment, các ghi chú thiết lập chính sách (giống như trên
hình 5) có thể đặt theo một dạng cú pháp cơng. Trong ví dụ này, tác
giả đã đưa một số tham chiếu cho Request-for-Change bên trong hoặc
hệ thống Support, thời điểm để khi nào thiết lập này được thiết lập lần
đầu, ai đã yêu cầu sự thay đổi, ai chứng thực thay đổi và ai thực thi
nó.
Các ghi chú thiết lập chính sách cũng có thể được xem trong báo cáo
có được trong GPMC dưới tab “Settings”, một cột mới đã được bổ sung
vào tab cho mục đích này (cả khi in ấn và lưu báo cáo).
Trong phần 1 của loạt bài này, tôi đã đề cập đến một số file được đặt
trong SYSVOL khi ghi chú một Starter GPO. Cũng tương tự cho các
GPO thông thường, trong trường hợp này nó có tại đường dẫn
\\domain.com\SYSVOL\domain.com\Policies\{GUID} – trong đó GUID
là một ID duy nhất của GPO (xem hình 3). Tồn bộ vấn đề này là các
file đó có thể được soạn thảo hoặc được tạo một cách thủ công hoặc
bằng một kịch bản nếu bạn mong muốn.
Các file đã đề cập trong bảng 1 là lý do tại sao việc ghi chú trên một
GPO và các thiết lập chính sách riêng biệt là hồn tồn có thể. Các file
không xuất hiện cho tới khi một comment được tạo ra, xem bảng để có
thêm thơng tin chi tiết hơn nữa.
Tên file

Nội dung
Gồm các comment đã tạo
trên các thiết lập bên
trong phần CC của
Starter GPO (định dạng

XML).

\Machine\Comment.cmtx

\User\Comment.cmtx

File này chỉ xuất hiện nếu
số lượng tối thiểu của
một thiết lập CC có một
comment được liên kết
đến nó.
Gồm các comment đã tạo
trên các thiết lập bên
trong phần UC của


Starter GPO (định dạng
XML).
File này chỉ xuất hiện nếu
một số tối thiểu của thiết
lập UC có một comment
được liên kết đến.
Gồm GPO comment (file
văn bản).
GPO.cmt

File này chỉ xuất hiện nếu
GPO có một comment
liên kết với nó.


Bảng 1: Các file comment
Kết thúc phần comment của những cải thiện chúng ta sẽ có trong
Windows Server 2008 - và GPMC version 2.0. Tiếp theo chúng ta sẽ
phải xem xét một số tin tức có liên quan đến chức năng tìm kiếm của
Group Policy - hoặc chính xác hơn nữa đó là Filtering.
Từ việc lọc tới tìm kiếm
Nếu bạn quản trị các Group Policy trong một thời gian ngắn thì có thể
đã khơng dưới một lần bạn tự hỏi chính bản thân rằng “Tại sao khơng
thể tìm kiếm các thiết lập chính sách cụ thể?”, hoặc “Ai đó có thể nhớ
2400 thiết lập chính sách hay khơng?”. Nó chỉ là một trong những chức
năng “nên có bất cứ thời điểm nào” mà bạn khơng thể sống nếu khơng
có nó, tuy nhiên vẫn cứ phải đợi…
Search khơng được đưa vào như một nghĩa đúng “tìm kiếm” của nó
bên trong Group Policy Management Editor (GPME), nó vẫn được gọi là
“filtering” (lọc) giống như một chức năng bị hạn chế mà chúng ta đã có
trong các phiên bản trước – tuy nhiên hiện nó có nhiều cải thiện hơn.
Bạn có thể thấy nó ngay sau khi chọn “Filter Options” từ menu View,
hoặc như đã thực hiện trong hình 6.


Hình 6: Chọn Filter Options
Quan trọng
Việc lọc chỉ được cung cấp bên trong Administrative Templates… Điều
này có nghĩa là bạn phải chọn “Administrative Templates” (cả bên dưới
phần Computer Configuration hoặc User Configuration của chính sách
đã chọn) cho “Filter Options” để hiện lên.
Việc mở rộng chức năng tìm kiếm để có khả năng tìm kiếm các phần
khác nhau của GPO, đặc biệt “Security Settings”, sẽ thực sự là một
điều thú vị, chúng ta hãy hy vọng nó sẽ là một phần của các nhiệm vụ
sắp có của nhóm Group Policy…. Nhưng cho tới bây giờ bạn vẫn phải

sống với trang dữ liệu Excel “Group Policy Settings Reference for
Windows Vista“ (xem phần các liên kết mở rộng) để tìm kiếm thêm các
thiết lập khác.
Hộp thoại Filter Options, xem hình 7, được chia thành 3 mục. Từ trên
đỉnh chúng ta có các hộp danh sách để chọn, sau đó có “Keyword
Filters” và phía dưới cùng là “Requirements Filters”.


Hình 7: Hộp thoại Filter Options
Hãy bắt đầu từ trên - hoặc mục đầu tiên là…
Hộp danh sách đầu tiên (xem trong hình 8) cho bạn có thể chọn để
hiển thị chỉ các chính sách Managed – cách thực hiện bằng chọn ‘Yes’.
Bạn cũng có thể chọn ‘No’, nghĩa là khơng muốn xem bất kỳ chính
sách Managed nào. Hoặc có thể chọn ‘Any’ để có cả hai chính sách
Managed và un-Managed.

Hình 8: Lọc bằng “Managed”
Hộp danh sách thứ hai (xem hình 9) cho bạn quyền chọn để hiển thị


chỉ các thiết lập chính sách đã được cấu hình – Configured, được thực
hiện bằng cách chọn ‘Yes’. Bằng việc chọn ‘No’ sẽ chỉ có được các
chính sách bị bỏ lại không động chạm đến – và cuối cùng là ‘Any’ cho
cả các thiết lập chính sách Configured và un-Configured.

Hình 9: Lọc bởi “Configured”
Hộp danh sách chọn thứ ba (xem hình 10) cho phép có thể chọn để
hiển thị chỉ các thiết lập chính sách đã được ghi chú – Commented –
chính sách này được chọn bằng cách chọn ‘Yes’. Chọn ‘No’ sẽ chỉ có
các thiết lập chính sách khơng có ghi chú – và cuối cùng là ‘Any’ cho

phép có được cả các thiết lập chính sách Commented và unCommented.

Hình 10: Lọc bởi “Commented”
Các lựa chọn đã thực hiện trong cả ba hộp chọn được kết hợp vào một
bộ tìm kiếm hẹp.
Mục thứ hai là cho Keyword Filers, xem hình 11 – đây là những gì bạn
có thể gọi đúng nghĩa chữ “Search”.
Đầu tiên, kích vào “Enable Keyword Filters”, sau đó đánh một số từ
vào trường tìm kiếm (ví dụ “Wait network” như trong hình 11). Sau đó
chọn những gì bạn muốn tìm kiếm bên trong bằng cách check và hủy
check các hộp kiểm bên dưới trường tìm kiếm. Bạn có thể tìm kiếm
cho các tương ứng bên trong trường “Policy Setting Title”, “Explain
Text” hoặc “Comment”.


Hình 11: Keyword Filters
Hộp danh sách chọn ở bên phải hình 11 có 3 thiết lập có thể:
•

•
•

‘All’ – tất cả các từ bạn đã đánh vào trường tìm kiếm phải hiển
thị trong tiêu đề thiết lập chính sách, văn bản giải thích hoặc ghi
chú - phụ thuộc vào những gì bạn chọn trong các hộp kiểm (xem
ở trên)
‘Any’ – Nếu chỉ một trong các từ được hiển thị sẽ được xem xét
như một tìm kiếm thoả đáng.
‘Exact’ – Những từ được hiển thị theo một thứ tự chính xác mà
bạn đã đánh vào.


Mục cuối cùng là cho Requirements Filters (xem hình 12), kích
“Enable Requirements Filters” để thiết lập các bộ lọc đó. Một số
thiết lập chính sách chỉ áp dụng nền tảng “Windows Vista”, “Windows
Vista Service Pack 1”, bằng việc sử dụng các bộ lọc này có thể xem
chính xác những gì khi bạn có đối với phiên bản của một hệ điều
hành/Internet Explorer/Media Player, …
Bạn có thể chọn từ hai tiêu chuẩn sau:
•

•

Include settings that match any of the selected platforms – Gồm
các thiết lập tương ứng với bất kỳ nền tảng đã chọn nào - sẽ trả
về cho các thiết lập chính sách bất cứ nền tảng nào đã chọn khả
năng quản lý (không phải tất cả các nền tảng đều được chiếu
theo ở đây).
Include settings that match all of the selected platforms – Gồm
các thiết lập tương ứng với tất cả các nền tảng đã chọn – Vì vậy
nếu bạn chọn “Microsoft Windows 2000” và “Windows Vista” nó
sẽ trả về chỉ các thiết lập chính sách mà cả hai nền tảng này
chiếu theo nó.


Hình 12: Các u cầu của Filter
Lưu ý:
Tính năng này có một số lỗi đã được biết trong Windows Server 2008
RC0 và đã được vá trong các phiên bản BETA, vì vậy bạn khơng cần
phải lo lắng về nó.
Khi đã thực hiện xong việc cấu hình và điều chỉnh Filter Options, kích

OK và bây giờ những gì bạn thấy chính là những gì mong muốn. Kích
nút “All Settings” như trong hình 3.

Hình 13: Nút “All Settings
Nút “All Settings” là một nút khá quan trọng – có một nút cho phần
Computer Configuration và một nút cho phần User Configuration của
chính sách. Lưu ý rằng khi Filter Options được cho phép thì việc lọc


được thực hiện cho cả Computer Configuration và User Configuration.
Bạn cũng có thể duyệt thơng qua kiến trúc các mục chính sách giống
như chúng tơi đã sử dụng. Lưu ý rằng các biểu tượng đã bị thay đổi nơi
các bộ lọc gây ảnh hưởng lên chúng.

Hình 14: Duyệt bộ lọc kiểu cũ
Nếu bạn thay đổi một cái gì đó bên trong một chính sách khi bộ lọc
đang ở trạng thái kích hoạt mà bạn đã cấu hình một thiết lập chính
sách khơng cấu hình (un-configured) từ trước thì sẽ phải “refresh” lại
quan sát một cách thủ công, được biết đến như “Re-Apply Filter”
(xem hình 15). Đây quản thực giống như việc tắt bộ lọc sau đó lập lại
nó.

Hình 15: Chọn Re-Apply Filter
Khi khơng muốn sử dụng bộ lọc nữa thì bạn có thể tắt bằng việc xóa
dấu chọn tại “Filter On”, xem hình 16. Cần lưu ý là phần Filter


Options của bạn sẽ được nhớ trong Group Policy Management Editor
(GPME), vì vậy cho đến lần kế tiếp khởi động thì bạn sẽ có thể bật bộ
lọc đã được sử dụng lần cuối cùng.


Hình 16: Filter On/Off
Cuối cùng tơi muốn giới thiệu cho các bạn là nút “All Settings”. Nút
này cho phép bạn quan sát theo thứ tự bảng chữ cái mọi thứ bên dưới
phần Computer Configuration (hình 17) hoặc User Configuration (hình
18) của chính sách.


Hình 17: Computer Configuration với “All Setting”
Kích “Setting”, “State”, “Comment” hoặc cột “Path” để xắp xếp các
thiết lập chính sách đã hiển thị nếu bạn muốn tìm một cái gì đó nhanh
chóng, ví dụ, xem tất cả các thiết lập có comment đã được định nghĩa
- hoặc tất cả trong trạng thái ‘Enabled’. Lưu ý rằng tại thời điểm này
(Windows Server 2008 RC0) chúng ta có 1375 thiết lập Computer
Configuration bên dưới Administrative Templates và 1307 thiết lập
User Configuration, xem hình 18 - quả thật cần phải nhớ quá nhiều!


Hình 18: User Configuration với nút “All Setting”
Chức năng Search - hoặc filtering như tơi nói - sẽ là một thuận lợi lớn.
Chúng ta không cách xa phát hành của GPMC version 2.0 cho Windows
Vista bao nhiêu – khi nhóm Group Policy đã hứa phát hành với tư cách
một download riêng khi Windows Vista Service Pack 1 được phát hành
(vì như đã biết, nếu bạn đã đọc phần 1 thì GPMC được xây dựng kèm
sẽ được xóa trong suốt quá trình cài đặt gói dịch vụ SP1).
Kết luận
Windows Server 2008 và GPMC version đang mang đến một một tính
năng mới tuyệt vời có liên quan đến Group Policy. Một số cải thiện nhỏ
nhưng cũng có một số cải thiện lớn. Phần lớn nó có thể rất hữu dụng
cho các quản trị viên trong hầu hết các môi trường. Chức năng tìm

kiếm đã được đáp ứng, và có thể một vài năm nữa nó sẽ được như
mong muốn của chúng ta.

Tin liên quan:


Group Policy trong Windows Server 2008 - Phần 1: Starter GPOs là gì
Group Policy trong Windows Server 2008 - Phần 3: Group Policy
Preference