Group Policy trong Windows Server 2008 - Phần 4: Group Policy Preference (tiếp)

Phần 1: Starter GPOs là gì
Phần 2: GPMC Version 2
Phần 3: Group Policy Preference

Jakob H. Heidelberg

Trong phần một của loạt bài này, chúng ta đã thảo luận về "Starter GPOs". Trong phần hai thì đi sâu vào nghiên cứu Group Policy Management Console (GPMC) version 2 và chức năng tìm kiếm mới của nó cũng như việc lọc và các tùy chọn “comment”. Phần ba đã giới thiệu cho bạn về Group Policy Preferences và trong phần này chúng tôi sẽ giới thiệu sâu hơn nữa về nó, về các vấn đề cụ thể như , Item level Targeting, Export/Import, Common options, Shortcuts và một số tính năng khác.

Bạn đọc hãy lưu ý rằng một số thông tin trong loạt bài này được xây dựng trên các thông tin của phiên bản Beta của Windows Server 2008 (Beta 3, RC0 and RC1). Chính vì vậy, một số tính năng cũng như hộp thoại có thể sẽ bị thay đổi đôi chút khi phiên bản cuối cùng được phát hành. Group Policy Preferences là một phần trong phiên bản Release Candidate 1 (RC1) beta của Windows Server 2008.

Actions

Với thiết lập Group Policy Preference (GPP), bạn có thể chọn một trong 4 tùy chọn khác nhau (xem trong hình 1). Các Action này sẽ phân biệt cách Client Side Extension (CSE) sẽ xử lý mục mà bạn ưu tiên như thế nào.


Hình 1: Tab General của Environment Properties

Dưới đây là những giới thiệu vắn tắt về các action được cung cấp:

1. Create = Tạo một thiết lập mới nếu nó không tồn tại trong máy mục tiêu.

2. Replace = Xóa thiết lập nếu nó tồn tại và sau đó thiết lập các thiết lập mới (“tạo lại”).

3. Update (default) = Action mặc định để thay đổi các thiết lập đang tồn tại. Nếu các thiết lập không tồn tại thì chúng sẽ được thiết lập.

4. Delete = Gỡ bỏ thiết lập ưu tiên của bạn trên máy tính mục tiêu.

Lưu ý:

Chúng ta hầu như có thể biết được action Migrate khi Microsoft phát hành một số bổ sung cho nút Applications (vấn đề này sẽ được giới thiệu nhiều hơn trong phần cuối của bài báo này).

Chọn đúng action là một điều quan trọng, tuy nhiên hầu hết các trường hợp tùy chọn mặc định (Update) có thể là tốt hơn cả.

Tab Common và thứ tự xử lý

Chúng ta hãy xem xét chi tiết hơn về tab Common của các thiết lập Group Policy Preferences. Đây chính là nơi mà chúng ta có thể chỉ định cách CSE sẽ xử lý thiết lập ưu tiên của riêng bạn như thế nào (hoặc “item”).


Hình 2: Tab Common của Environment Properties

Nếu bạn kích vào bất kỳ tab Common nào của Group Policy Preferences thì chúng đều có các tùy chọn giống nhau như những gì chúng tôi liệt kê dưới đây (mặc dù các tùy chọn không liên quan có thể không được hiển thị (màu xám) như trong hình 2):

"Stop processing items in this extension if an error occurs" thay đổi vấn đề quản lý lỗi mặc định. Nếu bất kỳ lỗi nào xuất hiện trong suốt quá trình Group Policy Preferences thì action mặc định sẽ tiếp tục với các ưu tiên tiếp theo theo dòng. Để thay đổi hành vi này, tùy chọn này có thể được chọn – điều này sẽ ngừng quá trình duy trì các item ưu tiên theo cùng một đuôi mở rộng/chủng loại bên trong GPO hiện hành.

"Run in logged-on user's security context (user policy option)" thay đổi nội dung của người dùng mặc định. Thông thường các ưu tiên được xử lý bằng cách sử dụng Local System account (SYSTEM), chọn tùy chọn này sẽ bảo đảm nội dung của người dùng được sử dụng thay vì nó. Network Drive và Printer Mappings sẽ bỏ qua thiết lập này vì chúng luôn luôn sử dụng nội dung bên trong của người dùng trong mọi hoàn cảnh.

"Remove this item when it is no longer applied" có thể gỡ bỏ các thiết lập ưu tiên khi người dùng hoặc máy tính rơi vào tình trạng không kiểm soát được. Tuy nhiên bạn phải cực kỳ cẩn thận với tùy chọn này vì phụ thuộc vào những action gì mà bạn chọn nó có thể gỡ bỏ toàn bộ các thiết lập (ví dụ như giá trị đăng ký) mà không chỉ đơn giản thay thế giá trị gốc như những gì bạn vẫn nghĩ. Khi chọn tùy chọn này, action “Update” sẽ được ép thực thi.

Ví dụ (một cảnh báo nhỏ)

Chúng ta hãy lấy một ứng dụng được viết mã từ trước để xem xét phần dưới đây của đăng ký, từ đó quyết định thiết lập riêng cho người dùng trong suốt quá trình start-up (nghĩa là truy vấn chủ đề ảo đã chọn của người dùng):
Current User > Software > Windowsecurity.com > MyTheme = "Default"

Khi một quản trị viên quyết định trao cho tất cả người dùng một chủ đề (theme) ảo nào đó trong ứng dụng được tạo bởi ưu tiên đăng ký Registry có gán khóa "MyTheme" với giá trị là "DeepPurple". Quản trị viên này cũng chọn tùy chọn "Remove this item when it is no longer applied" cho việc ưu tiên registry. Mọi thứ làm việc tốt trong một vài tháng và sau đó hệ thống có vấn đề và được nhận định là GPO không được liên kết – ý định ở đây là đưa trở về các giá trị gốc. Nhưng những gì sẽ xảy ra ở đây là giá trị chuỗi của registry "MyTheme" sẽ bị xóa toàn bộ - trong trường hợp xấu nhất khi ứng dụng bị gặp sự cố. Bởi vậy các nhà thạo chuyên môn đã khuyến khích bạn kiểm tra hành vi của tùy chọn này một cách kỹ lưỡng trước khi sử dụng nó trong môi trường sản xuất.

"Apply once and do not reapply" thay đổi hành vi mặc định, tùy chọn này nhìn chung là để xử lý thiết lập ưu tiên (preference) bằng cách refresh nền phụ. Mặc dù vậy cũng cần phải nói rằng, một số preference này chỉ được xử lý trong suốt quá trình đăng nhập một cách mặc định (ví dụ Network Drive và Printer Mappings). Với tùy chọn này, CSE áp dụng một mục preference cụ thể khi một lần và không bao giờ lặp lại. Từ điểm đó, người dùng có thể thực hiện bất cứ cái gì mà anh ta muốn với thiết lập preference của User Configuration – hoặc nếu nó là preference của Computer Configuration thì máy tính sẽ không bao giờ xử lý thiết lập preference này lại một lần nữa.

"Item-Level Targeting" là một kiểu bộ lọc giống WMI, nhưng chỉ cho thiết lập preference đã được chọn chứ không cho toàn bộ GPO (giống như các bộ lọc WMI) hoặc các preferences khác cho vấn đề đó. Các thông tin về vấn đề này sẽ được giới thiệu ở phần sau của bài này.

Thứ tự xử lý và các tùy chọn menu

Thứ tự xử lý của các item (mục) preference có thể được quyết định một cách thủ công bởi quản trị viên – hoặc bạn có thể thực hiện theo một thứ tự mặc định (thông thường là tốt).

Các mũi tên màu xanh lên và xuống (hình 3) cho phép bạn định nghĩa một cách thủ công thứ tự xử lý các ưu tiên preferences bên trong một mục nào đó.


Hình 3: Thứ tự xử lý và các tùy chọn của menu (cho mục "Local Users and Groups")

Dưới đây là những gì mà chúng tôi giới thiệu sơ qua về các tùy chọn của menu mà chúng ta có trong hình 3:

Biểu tượng dấu hỏi chấm cung cấp sự trợ giúp cho mục preferences. File trợ giúp này khá tốt và bao phủ hầu hết các tình huống chung.

Biểu tượng tài liệu cung cấp phương pháp hiển thị dữ liệu XML cho các mục đã được chọn.

Biểu tượng “Stop” đỏ cung cấp tùy chọn vô hiệu hóa mục ưu tiên đã được chọn hiện hành. Điều đó có nghĩa rằng CSE sẽ không xử lý mục này. Biểu tượng thay đổi thành mày xanh khi mục ưu tiên được vô hiệu hóa. Kích vào biểu tượng màu xanh sẽ kích hoạt trở lại preferences.

SYSVOL

Bạn có thể phân vân về cách các Group Policy Preferences làm việc như thế nào – và chắc hẳn là bạn cũng đã từng đoán về nó. Các preferences làm việc theo cùng một cách như kỹ thuật Group Policy thông thường, CSE lấy những gì mà nó cần từ SYSVOL và bảo đảm để áp dụng các thiết lập trên máy khác (hầu hết các trường hợp trong nội dung của tài khoản SYSTEM).


Hình 4: Các hạng mục khác nhau của Group Policy Preferences

Group Policy Preferences thực sự chỉ là các thư mục và file được bổ sung vào SYSVOL. Thư mục "Preferences" được tạo bên dưới thư mục "\User" (đối với User Configuration preferences) hoặc "\Machine" (đối với Computer Configuration preferences). Và mỗi hạng mục preferences (hình 4), một thư mục lại được tạo bên dưới thư mục "Preferences" (Hình 5).


Hình 5: Thư mục được tạo cho mỗi hạng mục Group Policy Preferences đã được kích hoạt

Bên dưới mỗi thư mục hạng mục, bạn sẽ thấy một file XML cho mỗi một thiết lập preferences của bạn, và có các tùy chọn cấu hình có liên quan,…

Item Level Targeting

Item Level Targeting (ILT) là một "bộ lọc - filter" bổ sung thêm trên GPO (WMI và các filter nhóm bảo mật), chúng chỉ áp dụng cho mục GP Preference riêng nào đó bên trong GPO chứ không phải toàn bộ GPO với tư cách các tùy chọn lọc đang tồn tại. Ví dụ, nếu bạn tạo GPO có một mục GPO bằng cách tạo một chia sẻ trên máy khách thì có thể thiết lập kiểu filter trên một mục riêng nào đó, điều đó để bảo đảm bạn chỉ “hit” máy tính hoặc người dùng áp dụng các thiết lập ILT đã định nghĩa. Bên trong một GPO riêng, bạn có thể có nhiều mục ưu tiên, mỗi một mục trong chúng lại có nhiều tùy chọn khác nhau.

Với ILT, bạn có thể sử dụng các chức năng logic, như And/Or và Not. Bạn có thể tạo bộ sưu tập (Collection) các chức năng logic để tạo sự linh động và thân thiện hơn với người dùng. ITL khá nhanh hơn các bộ lọc WMI vì chúng sử dụng API đính kèm của hệ điều hành thay vì của WMI.

Đây là một danh sách đầy đủ các điều kiện mà bạn có thể sử dụng trong ILT "filters":

Battery Present, Computer Name, CPU Speed, Date Match, Dial-Up Connection, Disk Space, Domain Environment Variable, File Match, IP Address Range, Language, LDAP Query, MAC Address Range, MSI Query, Operating System, Organizational Unit, PCMCIA Present, Portable Computer, Processing Mode, RAM, Registry Match, Security Group, Site, Terminal Session, Time Range, User hoặc một WMI Query tùy chỉnh.

Thêm vào đó bạn có thể bổ sung cả nhãn và các comment vào bộ sưu tập hoặc các mục ILT để có một cách nhìn tổng quan hơn – mục đích cho các môi trường lớn hơn.

Hình 6 thể hiện "Targeting Editor" với hai bộ sưu tập, mỗi bộ sưu tập lại có nhiều mục ILT kiểu Boolean (hoặc “các truy vấn”) – một trong những sưu tập đó phải đúng cho thiết lập ưu tiên riêng nào đó để áp dụng cho người dùng hoặc đối tượng máy tính.


Hình 6: Targeting Editor

ILT cung cấp cho chúng ta quyền điều khiển tối thượng cho những ai có mục ưu tiên nào đó.

Export & Import Group Policy Preferences

Group Policy Preferences của bạn có thể được export một cách rất dễ dàng. Chỉ cần kích chuột phải vào một preferences, chọn Copy và sau đó Paste vào desktop của bạn hoặc một số thư mục khác – một tài liệu XML sẽ được tạo. Tài liệu này gồm có mọi thứ mà bạn cần để import GPO vào một GPO khác (hoặc môi trường cho vấn đề đó). Để import một tài liệu XML, tất cả những gì bạn cần thực hiện đó là Copy và Paste tài liệu vào trong vùng preferences trong Group Policy Management Editor.

Mẹo:
Nếu bạn mở tài liệu XML (bằng sử dụng mặc định Notepad, XML Notepad, Internet Explorer hoặc bất cứ ứng dụng nào khác) thì sẽ có thể nhận ra các thiết lập của preferences – chúng gồm có cấu hình ILT. Nếu bạn đã mở, hãy copy phần ILT vào các chính sách khác, nơi cần "filter" chính xác – công việc này hoàn toàn rất dễ dàng. Mẹo này có thể rất hữu dụng nếu bạn có một "filter" ILT nào đó áp dụng cho rất nhiều mục preferences khác.

Shortcut, màu và các biến

Một số tùy chọn “ẩn” cũng được cung cấp trong ở các vị trí khác nhau bên trong giao diện người dùng Group Policy Preferences. Bạn có thể sẽ phân vân về những dòng (trong hình 7) hoặc vòng tròng (trong hình 8) màu xanh.


Hình 7: Các thuộc tính của Folder Options và các dòng được tô màu

Dòng màu xanh bên dưới một thiết lập nào đó, ví dụ như dòng "Hide extensions for known file types" trong Folder Options preference ở hình trên, chỉ thị rằng nó phải được xử lý bằng CSE. Dòng chấm đỏ có nghĩa thiết lập sẽ không được xử lý bằng CSE dù có giá trị nào được cấu hình đi chăng nữa. Bên dưới Internet Explorer Properties bạn sẽ thấy các trường hợp sử dụng màu giống nhau, mặc dù vậy lúc này nó không phải là các dòng nữa mà là các vòng tròn – nghĩa của màu cũng tương tự như vậy.


Hình 8: Các thuộc tính của Internet Explorer và các vòng tròn được tô màu

Đây là những giới thiệu sơ qua về một số shortcuts làm cho quá trình này dễ dàng thiết lập dù có hay không các mục preferences được xử lý bởi CSE:

F5: Định nghĩa tất cả các thiết lập trong hộp thoại – cho phép xử lý tất cả các thiết lập trong cửa sổ hộp thoại. Rất hữu dụng nếu bạn đã vô hiệu hóa một số thiết lập và sau đó muốn thiết lập lại biểu mẫu.

F6: Định nghĩa thiết lập đã chọn hiện hành – Cho phép xử lý một thiết lập đơn trong cửa sổ thoại. Hữu dụng nếu bạn đã vô hiệu hóa một thiết lập bằng F7 và muốn kích hoạt trở lại mục đó.

F7: Không định nghĩa thiết lập hiện đã chọn – Vô hiệu hóa việc xử lý thiết lập đơn trong cửa sổ thoại. Hữu dụng nếu bạn muốn “tránh” một thiết lập khỏi việc được nâng cấp hoặc thay đổi trên máy khách.

F8: Không định nghĩa bất kỳ thiết lập nào trong hộp thoại – Vô hiệu hóa việc xử lý tất cả các thiết lập trong cửa sổ thoại. Hữu dụng nếu bạn muốn ngăn chặn tất cả các thiết lập trên một tab đang được thiết lập trên máy khách.

Các biến

Trong nhiều trường hơp, sẽ rất hữu dụng để nếu sử dụng các biến cho các giá trị thiết lập khác nhau trên máy tính hoặc người dùng. Việc nhấn phím F3 sẽ liệt kê cho bạn một danh sách các biến (xem trong hình 9). Tùy chọn "Resolve Variable" nên được chọn vì điều đó sẽ dịch các biến khi preferences được xử lý trên trình khách – hoặc nếu không nó sẽ chỉ hiển thị tên biến, ví dụ "%AppDataDir%", đó thực sự lại không phải thứ bạn thực sự cần.


Hình 9: Hộp thoại chọn các biến chung (phím F3)

Khả năng bổ sung

Chúng tôi không thể giới thiệu toàn bộ công nghệ Group Policy Preferences trong bài này, tuy nhiên sẽ đề cập vắn tắt đến một số khả năng:

Việc ghi chép và lần vết

Nó hoàn toàn có thể thiết lập việc ghi chép chi tiết các hành vi CSE – mỗi một hạng mục preferences lại có chính các tùy chọn bản ghi của riêng nó (ví dụ "Data Sources Policy Processing", "Environment Policy Processing", "Registry Policy Processing" …). Group Policy có thể được áp dụng để làm cho các CSE khác nhau có thể ghi những gì đang diễn ra đằng sau kịch bản. Đôi khi việc khắc phục sự cố bên trong các file bản ghi chỉ là cách dẫn tới thành công, nhưng mặc định việc ghi chép này không được bật. Bạn sẽ thấy các thiết lập ghi chép và lần vết này theo đường dẫn bên dưới:
Computer Configuration | Policies | Administrative Templates | System | Group Policy | Logging and tracing

Các sự kiện

Bản ghi Windows Application gồm có thông tin sự kiện cho mỗi hạng mục Group Policy Preferences. Mỗi hạng mục lại có tài nguyên sự kiện của chính nó, làm cho việc lọc bản ghi sự kiện trở nên dễ dàng.

Các thiết lập và báo cáo kết quả

Một cố gắng tuyệt vời đã được tiến hành để cho phép các quản trị viên có thể tạo báo cáo thiết lập bên trong GPMC như các Group Policy kiểu cũ. Điều này có thể giữ được các nhiệm vụ về mặt tài liệu một cách rất đơn giản và cung cấp cách nhìn tổng quan tuyệt vời cho một chính sách nào đó.

Những thứ tương tự cũng được thực hiện với báo cáo kết quả của Group Policy – chúng gồm các preferences, mặc dù vậy, các cấu hình Item-Level Targeting lại không được tính (có thể vì chúng sử dụng các API cục bộ thay vì WMI).

Các ứng dụng

Tại thời điểm này, chưa có thông báo chính thức nào từ phía Microsoft về preferences của ứng dụng, thứ mà chúng tôi cũng có với DesktopStandard PolicyMaker (Xem hình 10). Nội dung cho Application preference hoàn toàn trống rỗng mặc định, và sẽ được cung cấp với tư cách là một download riêng trong tương lai.


Hình 10: Các preferences của ứng dụng với PolicyMaker

Mã hóa

Nếu bạn lo lắng về mật khẩu về các tài khoản người dùng, tài khoản dịch vụ, tài khoản đăng nhập nhiệm vụ được lịch trình,… được lưu trữ như thế nào (biết rằng các file XML đơn giản được sử dụng cho các preferences), thì chúng tôi có thể nói rằng, chúng đã được mã hóa. Chúng tôi không biết thuật toán được sử dụng cho chúng là gì, nhưng có thể cho bạn biết rằng một mật khẩu có thể được dịch thành "wWHIrHyXsbFpBhpQ/fMKbwEEg3Ko0Es+RskCj/W6F8I" và "VPe/o9YRyz2cksnYRbNeQmFQgz60no44B/3YywYtmYU" – chính vì vậy không ai có thể đoán được?

Các chính sách và preferences có liên quan

Như những gì bạn đã thấy, chúng tôi có một số chồng lấp lên các chính sách thông thường và các preferences. Ví dụ cho các thiết lập Internet Explorer, triển khai máy in, các tùy chọn công suất, bảo mật file, hạn chế các thiết bị và thiết lập dịch vụ - nhưng các bạn cũng không nên quá lo lắng! Hãy coi đây như một cơ hội mới thay vì phải lo lắng về việc tùy chỉnh môi trường, chính xác là cách mà bạn muốn nó sẽ trở lên linh động hơn với các công nghệ tương tự nhau.

Làm thế nào để có được những thứ này

Hầu như thứ không thể tin được khi nói đến Group Policy Preferences là nó được cung cấp đến bạn gần như MIỄN PHÍ từ Microsoft.

Tất cả thứ mà bạn cần là một môi trường Windows Server 2003 hoặc 2008, một hệ điều hành Windows Vista with Service Pack 1 và đã được load Remote Server Administration Toolkit (RSAT). Sau đó bạn có thể sử dụng môi trường Vista SP1 để soạn thảo GPO và gộp các tham chiếu preferences đã chọn. Windows Server 2008 cũng có thể được sử dụng như một trạm quản lý Group Policy.

Để làm cho preferences làm việc trên các máy tính của công ty, chúng cần phải cài đặt CSE client. Một client như vậy sẽ được cung cấp download cho Windows XP và các hệ điều hành thế hệ sau (CSE được thiết kế kèm theo trong Windows Server 2008). CSE client (một file MSI nhỏ) có thể được cài đặt bằng cách sử dụng bộ cài đặt Group Policy Software Installation (GPSI). Windows 2000 không hỗ trợ vấn đề sử dụng các Group Policy Preferences của Microsoft. Và bạn cũng lưu ý rằng các preferences đó cũng không được cung cấp trong các chính sách cục bộ.

Kết luận

Windows Server 2008 và GPMC version 2 mang đến cho chúng ta nhiều tính năng mới tuyệt vời có liên quan đến Group Policy. Một số là những cải thiện nhỏ, một số là những cải thiện lớn. Phần lớn trong chúng nói chung đều rất hữu dụng cho các quản trị viên trong hầu hết các môi trường.

Group Policy Preferences sẽ cho phép chúng ta thực hiện việc cấu hình đơn giản hơn thông qua các giao diện sử dụng chung, giảm sự cần thiết phải tạo và viết các kịch bản cấu hình phức tạp, có khả năng linh động (một quản trị viên có thể cấu hình ban đầu một mục preferences và cho phép người dùng có thể thay đổi các thiết lập sau này), bạn cũng sẽ cần ít các image hơn, có thể cấu hình bổ sung và các tùy chọn bảo mật (đã đề cập trong phần ba của loạt bài này) mà không cần phải tốn nhiều tiền để có được nó!

Thứ Hai, 17/03/2008 09:55
31 👨 4.483
0 Bình luận
Sắp xếp theo