Group Policy trong Windows Server 2008 - Phần 2: GPMC Version 2

Phần 1: Starter GPOs là gì

Jakob H. Heidelberg

Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về “Starter GPO”. Phần hai này sẽ giới thiệu đến các bạn Group Policy Management Console (GPMC) version 2 và các tùy chọn trong việc tìm kiếm, lọc và ghi chú.

Bài tiếp theo trong loạt bài này sẽ giới thiệu tất cả những khả năng mới với các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions và nhiều hơn thế nữa…

Lưu ý:
Bạn cần lưu ý rằng một số thông tin trong bài viết này dựa hoàn toàn trên thông tin thu được từ các phiên bản Beta của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy, một số tính năng và hộp thoại có thể thay đổi trước khi phiên bản cuối cùng được phát hành.

Một số ghi chú cá nhân

Bạn có thể biết một vấn đề là tên của Group Policy Object (GPO) không thực sự nói lên GPO sẽ làm gì, ai đã thiết lập nó để thực hiện hoạt động như hiện tại và tại sao nó cần phải được thiết lập như vậy. Phần “nó thực hiện những gì” có thể được thấy tại tab Settings trong Group Policy Management Console (GPMC).

GPMC version 2.0 có hai kiểu thành phần ghi chú khác nhau. Các ghi chú này có thể được sử dụng trong các trường hợp như nêu trên – và tất nhiên còn phụ thuộc nhiều hơn vào nhu cầu của bạn.

Kiểu đầu tiên của loại đánh giá bình luận này mà chúng tôi sẽ quan sát là GPO comment chính - bạn có thể có một trong những comment tổng quát trên mỗi GPO.

Có một cách (thông thường) để soạn thảo kiểu ghi chú này, đó là bằng cách kích chuột phải vào đối tượng chính sách bên trong Group Policy Management Editor (GPME) và chọn “Properties” (xem hình 1).


Hình 1: Chọn Properties của GPO

Trong các thuộc tính của GPO đã được chọn, bạn sẽ thấy một tab mới có tên gọi là “Comment”, xem hình 2.


Hình 2: Tab Comment mới trên GPO

Trong trường văn bản bạn có thể đánh vào bất cứ ghi chú gì cần thiết. Bạn có thể tạo theo một cú pháp công ty sử dụng, để bảo đảm rằng tất cả các thông tin có liên quan không bị rò rỉ. (Ví dụ, “Ai đã yêu cầu cho GPO này”, “Ai đã tạo GPO này”, “Thông tin liên hệ”…). GPO comment có thể được xem từ GPMC trên tab Details – cùng với thông tin GUID, dữ liệu tạo và ngày thay đổi cuối cùng..., tất cả đều có ngay trong phiên bản đầu tiên của GPMC (xem hình 3).


Hình 3: GPO comment được quan sát từ tab Detail GPMC

Kiểu thứ hai của comment cũng được cung cấp trên các thiết lập Group Policy riêng lẻ - không cho bản thân GPO mà cho mỗi thiết lập bên trong nó! Đó là một dấu hiệu tốt - mặc dù vậy vấn đề ở đây là điều đó chỉ đúng cho các thiết lập chính sách Administrative Template (cả User Configuration và Computer Configuration). Hình 4 hiển thị một ví dụ về Security Setting/Password Policy – và như những gì bạn có thể nhìn thấy ở đây không có tab Comment.


Hình 4: Không tab Comment, chỉ có các tab cũ

Tab Comment hiện lên các thiết lập chính sách bên trong thiết lập Administrative Template (xem hình 5).


Hình 5: Tab Comment được hiện diện

Với GPO comment, các ghi chú thiết lập chính sách (giống như trên hình 5) có thể đặt theo một dạng cú pháp công. Trong ví dụ này, tác giả đã đưa một số tham chiếu cho Request-for-Change bên trong hoặc hệ thống Support, thời điểm để khi nào thiết lập này được thiết lập lần đầu, ai đã yêu cầu sự thay đổi, ai chứng thực thay đổi và ai thực thi nó.

Các ghi chú thiết lập chính sách cũng có thể được xem trong báo cáo có được trong GPMC dưới tab “Settings”, một cột mới đã được bổ sung vào tab cho mục đích này (cả khi in ấn và lưu báo cáo).

Trong phần 1 của loạt bài này, tôi đã đề cập đến một số file được đặt trong SYSVOL khi ghi chú một Starter GPO. Cũng tương tự cho các GPO thông thường, trong trường hợp này nó có tại đường dẫn \\domain.com\SYSVOL\domain.com\Policies\{GUID} – trong đó GUID là một ID duy nhất của GPO (xem hình 3). Toàn bộ vấn đề này là các file đó có thể được soạn thảo hoặc được tạo một cách thủ công hoặc bằng một kịch bản nếu bạn mong muốn.

Các file đã đề cập trong bảng 1 là lý do tại sao việc ghi chú trên một GPO và các thiết lập chính sách riêng biệt là hoàn toàn có thể. Các file không xuất hiện cho tới khi một comment được tạo ra, xem bảng để có thêm thông tin chi tiết hơn nữa.

Tên fileNội dung
\Machine\Comment.cmtxGồm các comment đã tạo trên các thiết lập bên trong phần CC của Starter GPO (định dạng XML).

File này chỉ xuất hiện nếu số lượng tối thiểu của một thiết lập CC có một comment được liên kết đến nó.
\User\Comment.cmtxGồm các comment đã tạo trên các thiết lập bên trong phần UC của Starter GPO (định dạng XML).

File này chỉ xuất hiện nếu một số tối thiểu của thiết lập UC có một comment được liên kết đến.
GPO.cmtGồm GPO comment (file văn bản).

File này chỉ xuất hiện nếu GPO có một comment liên kết với nó.

Bảng 1: Các file comment

Kết thúc phần comment của những cải thiện chúng ta sẽ có trong Windows Server 2008 - và GPMC version 2.0. Tiếp theo chúng ta sẽ phải xem xét một số tin tức có liên quan đến chức năng tìm kiếm của Group Policy - hoặc chính xác hơn nữa đó là Filtering.

Từ việc lọc tới tìm kiếm

Nếu bạn quản trị các Group Policy trong một thời gian ngắn thì có thể đã không dưới một lần bạn tự hỏi chính bản thân rằng “Tại sao không thể tìm kiếm các thiết lập chính sách cụ thể?”, hoặc “Ai đó có thể nhớ 2400 thiết lập chính sách hay không?”. Nó chỉ là một trong những chức năng “nên có bất cứ thời điểm nào” mà bạn không thể sống nếu không có nó, tuy nhiên vẫn cứ phải đợi…

Search không được đưa vào như một nghĩa đúng “tìm kiếm” của nó bên trong Group Policy Management Editor (GPME), nó vẫn được gọi là “filtering” (lọc) giống như một chức năng bị hạn chế mà chúng ta đã có trong các phiên bản trước – tuy nhiên hiện nó có nhiều cải thiện hơn. Bạn có thể thấy nó ngay sau khi chọn “Filter Options” từ menu View, hoặc như đã thực hiện trong hình 6.


Hình 6: Chọn Filter Options

Quan trọng
Việc lọc chỉ được cung cấp bên trong Administrative Templates… Điều này có nghĩa là bạn phải chọn “Administrative Templates” (cả bên dưới phần Computer Configuration hoặc User Configuration của chính sách đã chọn) cho “Filter Options” để hiện lên.

Việc mở rộng chức năng tìm kiếm để có khả năng tìm kiếm các phần khác nhau của GPO, đặc biệt “Security Settings”, sẽ thực sự là một điều thú vị, chúng ta hãy hy vọng nó sẽ là một phần của các nhiệm vụ sắp có của nhóm Group Policy…. Nhưng cho tới bây giờ bạn vẫn phải sống với trang dữ liệu Excel “Group Policy Settings Reference for Windows Vista“ (xem phần các liên kết mở rộng) để tìm kiếm thêm các thiết lập khác.

Hộp thoại Filter Options, xem hình 7, được chia thành 3 mục. Từ trên đỉnh chúng ta có các hộp danh sách để chọn, sau đó có “Keyword Filters” và phía dưới cùng là “Requirements Filters”.


Hình 7: Hộp thoại Filter Options

Hãy bắt đầu từ trên - hoặc mục đầu tiên là…

Hộp danh sách đầu tiên (xem trong hình 8) cho bạn có thể chọn để hiển thị chỉ các chính sách Managed – cách thực hiện bằng chọn ‘Yes’. Bạn cũng có thể chọn ‘No’, nghĩa là không muốn xem bất kỳ chính sách Managed nào. Hoặc có thể chọn ‘Any’ để có cả hai chính sách Managed và un-Managed.


Hình 8: Lọc bằng “Managed”

Hộp danh sách thứ hai (xem hình 9) cho bạn quyền chọn để hiển thị chỉ các thiết lập chính sách đã được cấu hình – Configured, được thực hiện bằng cách chọn ‘Yes’. Bằng việc chọn ‘No’ sẽ chỉ có được các chính sách bị bỏ lại không động chạm đến – và cuối cùng là ‘Any’ cho cả các thiết lập chính sách Configured và un-Configured.


Hình 9: Lọc bởi “Configured”

Hộp danh sách chọn thứ ba (xem hình 10) cho phép có thể chọn để hiển thị chỉ các thiết lập chính sách đã được ghi chú – Commented – chính sách này được chọn bằng cách chọn ‘Yes’. Chọn ‘No’ sẽ chỉ có các thiết lập chính sách không có ghi chú – và cuối cùng là ‘Any’ cho phép có được cả các thiết lập chính sách Commented và un-Commented.


Hình 10: Lọc bởi “Commented”

Các lựa chọn đã thực hiện trong cả ba hộp chọn được kết hợp vào một bộ tìm kiếm hẹp.

Mục thứ hai là cho Keyword Filers, xem hình 11 – đây là những gì bạn có thể gọi đúng nghĩa chữ “Search”.

Đầu tiên, kích vào “Enable Keyword Filters”, sau đó đánh một số từ vào trường tìm kiếm (ví dụ “Wait network” như trong hình 11). Sau đó chọn những gì bạn muốn tìm kiếm bên trong bằng cách check và hủy check các hộp kiểm bên dưới trường tìm kiếm. Bạn có thể tìm kiếm cho các tương ứng bên trong trường “Policy Setting Title”, “Explain Text” hoặc “Comment”.


Hình 11: Keyword Filters

Hộp danh sách chọn ở bên phải hình 11 có 3 thiết lập có thể:

  • All’ – tất cả các từ bạn đã đánh vào trường tìm kiếm phải hiển thị trong tiêu đề thiết lập chính sách, văn bản giải thích hoặc ghi chú - phụ thuộc vào những gì bạn chọn trong các hộp kiểm (xem ở trên)
  • Any’ – Nếu chỉ một trong các từ được hiển thị sẽ được xem xét như một tìm kiếm thoả đáng.
  • Exact’ – Những từ được hiển thị theo một thứ tự chính xác mà bạn đã đánh vào.

Mục cuối cùng là cho Requirements Filters (xem hình 12), kích “Enable Requirements Filters” để thiết lập các bộ lọc đó. Một số thiết lập chính sách chỉ áp dụng nền tảng “Windows Vista”, “Windows Vista Service Pack 1”, bằng việc sử dụng các bộ lọc này có thể xem chính xác những gì khi bạn có đối với phiên bản của một hệ điều hành/Internet Explorer/Media Player, …

Bạn có thể chọn từ hai tiêu chuẩn sau:

  • Include settings that match any of the selected platforms – Gồm các thiết lập tương ứng với bất kỳ nền tảng đã chọn nào - sẽ trả về cho các thiết lập chính sách bất cứ nền tảng nào đã chọn khả năng quản lý (không phải tất cả các nền tảng đều được chiếu theo ở đây).
  • Include settings that match all of the selected platforms – Gồm các thiết lập tương ứng với tất cả các nền tảng đã chọn – Vì vậy nếu bạn chọn “Microsoft Windows 2000” và “Windows Vista” nó sẽ trả về chỉ các thiết lập chính sách mà cả hai nền tảng này chiếu theo nó.


Hình 12: Các yêu cầu của Filter

Lưu ý:
Tính năng này có một số lỗi đã được biết trong Windows Server 2008 RC0 và đã được vá trong các phiên bản BETA, vì vậy bạn không cần phải lo lắng về nó.

Khi đã thực hiện xong việc cấu hình và điều chỉnh Filter Options, kích OK và bây giờ những gì bạn thấy chính là những gì mong muốn. Kích nút “All Settings” như trong hình 3.


Hình 13: Nút “All Settings

Nút “All Settings” là một nút khá quan trọng – có một nút cho phần Computer Configuration và một nút cho phần User Configuration của chính sách. Lưu ý rằng khi Filter Options được cho phép thì việc lọc được thực hiện cho cả Computer Configuration và User Configuration. Bạn cũng có thể duyệt thông qua kiến trúc các mục chính sách giống như chúng tôi đã sử dụng. Lưu ý rằng các biểu tượng đã bị thay đổi nơi các bộ lọc gây ảnh hưởng lên chúng.


Hình 14: Duyệt bộ lọc kiểu cũ

Nếu bạn thay đổi một cái gì đó bên trong một chính sách khi bộ lọc đang ở trạng thái kích hoạt mà bạn đã cấu hình một thiết lập chính sách không cấu hình (un-configured) từ trước thì sẽ phải “refresh” lại quan sát một cách thủ công, được biết đến như “Re-Apply Filter” (xem hình 15). Đây quản thực giống như việc tắt bộ lọc sau đó lập lại nó.


Hình 15: Chọn Re-Apply Filter

Khi không muốn sử dụng bộ lọc nữa thì bạn có thể tắt bằng việc xóa dấu chọn tại “Filter On”, xem hình 16. Cần lưu ý là phần Filter Options của bạn sẽ được nhớ trong Group Policy Management Editor (GPME), vì vậy cho đến lần kế tiếp khởi động thì bạn sẽ có thể bật bộ lọc đã được sử dụng lần cuối cùng.


Hình 16: Filter On/Off

Cuối cùng tôi muốn giới thiệu cho các bạn là nút “All Settings”. Nút này cho phép bạn quan sát theo thứ tự bảng chữ cái mọi thứ bên dưới phần Computer Configuration (hình 17) hoặc User Configuration (hình 18) của chính sách.


Hình 17: Computer Configuration với “All Setting”

Kích “Setting”, “State”, “Comment” hoặc cột “Path” để xắp xếp các thiết lập chính sách đã hiển thị nếu bạn muốn tìm một cái gì đó nhanh chóng, ví dụ, xem tất cả các thiết lập có comment đã được định nghĩa - hoặc tất cả trong trạng thái ‘Enabled’. Lưu ý rằng tại thời điểm này (Windows Server 2008 RC0) chúng ta có 1375 thiết lập Computer Configuration bên dưới Administrative Templates và 1307 thiết lập User Configuration, xem hình 18 - quả thật cần phải nhớ quá nhiều!


Hình 18: User Configuration với nút “All Setting”

Chức năng Search - hoặc filtering như tôi nói - sẽ là một thuận lợi lớn. Chúng ta không cách xa phát hành của GPMC version 2.0 cho Windows Vista bao nhiêu – khi nhóm Group Policy đã hứa phát hành với tư cách một download riêng khi Windows Vista Service Pack 1 được phát hành (vì như đã biết, nếu bạn đã đọc phần 1 thì GPMC được xây dựng kèm sẽ được xóa trong suốt quá trình cài đặt gói dịch vụ SP1).

Kết luận

Windows Server 2008 và GPMC version đang mang đến một một tính năng mới tuyệt vời có liên quan đến Group Policy. Một số cải thiện nhỏ nhưng cũng có một số cải thiện lớn. Phần lớn nó có thể rất hữu dụng cho các quản trị viên trong hầu hết các môi trường. Chức năng tìm kiếm đã được đáp ứng, và có thể một vài năm nữa nó sẽ được như mong muốn của chúng ta.

Phần 3: Group Policy Preference
Phần 4: Group Policy Preference (tiếp)

Thứ Tư, 02/01/2008 16:01
31 👨 6.376
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp