most-popular

Tạo Một Starter GPOs Trong Group Policy

Starter GPO. Vi Starter GPO bn th kh năng lưu các mẫu bản để sử dụng khi to mới các đối tượng Group Policy (GPO). Các mu này thể được export sang các môi trường min khác, cho phép bạn được khnăng linh hoạt cao.

Khi mở GPMC 2.0 bn th s thấy mt mc cha mới (trng rng) tên "Starter GPOs". Mc này thể gi những tôi gi các “mẫu” nhm mục đích tạo các GPO mới - vi hn chế rằng ch các thiết lập “Administrative Templates” được cung cp - từ ‘Computer Configuration’ ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mm) “Windows Settings” (các kch bn, chính sách tài khoản, quyn người dùng, các chính sách hn chế phần mm,...). không có trong Starter GPOs, xem trong hình 1.

Hình 1: Các thiết lp từ “Administrative Templates”
Khi to các GPO mới, bn th chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn gi mẫu) để d dàng cho vic tạo đa GPO với cùng mt cu hình cơ sở, xem hình 2.


 Hình 2: Source Starter GPO
Mt GPO mi sẽ gm tt c các thiết lp chính sách “Administrative Templates” từ Starter GPO, chúng sẽ được sử dụng như một mu trong sut quá trình tạo các tính năng bổ sung thông thường chúng ta bên trong các GPO (như các thiết lp bo mt “Security Settings”,… ). Mi thứ ngoài các thiết lập chính sách “Administrative Templates” sau đó phải được to từ nhiều bước phức hợp khác như phiên bn hin nay vẫn đang phải làm. Đây điểm giá tr ca các mẫu Advanced Group Policy Management (AGPM). Mc vy, sn phẩm đó không nằm trong phm vi ca bài này nên chúng tôi sẽ gii thiu cho các bn vào một dp khác trong các bài khác.
Thư mục mới trong SYSVOL
Nếu đây lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút Create Starter GPOs Folder hoặc chỉ cần kích chuột phải vào mục Starter GPOs chọn New…”, xem hình 3. Tùy chọn sau đó sẽ tạo cho bạn một thư mục Starter GPOs.
 Hình 3: S dụng lần đầu tiên


Hộp thoại “New Starter GPO” sẽ xuất hiện, yêu cầu bạn nhập vào tên chú thích, xem hình 4.
Hình 4: Tạo một Starter GPO mới
Lưu ý rằng, bất cứ thứ bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter GPO này như một tài nguyên gốc. Văn bản sẽ được ghi lại với cách comment của GPO. Khi bạn kích hoạt lần đầu tiên Starter GPOs trong miền, sẽ một thư mục tên "StarterGPOs" được tạo ra bên trong thư mục SYSVOL với đường dẫn dưới đây: \\dthanh.local\SYSVOL\dthanh.local\StarterGPOs đây nơi tất cả trò “ảo thuật” được thực hiện (xem hình 5)
Hình 5: Thư mục StarterGPOs trong SYSVOL
Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ một GUID duy nhất (giống như các GPO thông thường). vậy khi bạn tạo một GPO mới với Starter GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục \\dthanh.local\SYSVOL\dthanh.local\Policies\[SomeNewGUID] (một GUID duy nhất đã tạo trong quá trình), đến lúc này bạn y chuẩn bị triển khai một GPO mới.


Hình 6: Chuẩn bị tạo một GPO mới, nhưng không tạo từ bất kỳ “đống hỗn độn” nào
Khi kích chuột phải vào Starter GPO, xem hình 6, bạn thể chọn để tạo “New GPO From Starter GPO…”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền chọn tùy chọn: ”Create a GPO in this domain, and Link it here...” ch lúc này hộp chọn “Source Starter GPO” mới bị vô hiệu.

Hình 7: Source Starter GPO chuyển sang màu xám

Cabinet và những thứ bên trong

những thứ rất thú vị bạn thể export các mẫu GPO (Starter GPOs) sang file Cabinet (.CAB) sau đó import cabinet này vào một môi trường khác hoàn toàn độc lập với domain/forest nguồn!

Chính vậy lúc này bạn thể tạo một Starter GPO hoàn hảo, export (xem nút “Save as Cabinet…” trong hình 8) sau đó mang ra bên ngoài, chia sẻ với các bạn của bạn, trên Website của bạn, triển khai trên tất cả các hệ thống bạn thể giữ quyền kiểm soát,…. Sau quá trình import được thực hiện rất dễ dàng (xem nút “Load Cabinet…” trong hình 8), bạn hãy chuẩn bị tạo các GPO mới với Starter GPO đóng vai trò cơ sở.


Hình 8: Tải Lưu file Cabinet
Nếu bạn cũng như tôi, thì thể rất mệt với tất cả những bên trong file .CAB…. Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm tối thiểu 2 (nếu không được cấu hình) đến 6 file nén, phụ thuộc vào những thiết lập bạn đã cấu hình trong Starter GPO riêng:
Tên file
Nội dung
StarterGPO.tmplx
Gồm GUID, thông tin phiên bản, tên,

tả…(định dạng XML)


File này luôn luôn nằm trong file CAB
Report.html
Báo cáo các thiết lập được tạo ra bao gồm như

một dưới dang file HTML cho mọi “export”.

Được thực hiện nhằm tạo tham chiếu dễ dàng

tài liệu xem xét.


File này luôn luôn nằm trong file CAB
Machine_Registry.pol          Một phần ‘Computer Configuration’ (CC) của
GPO


File này chỉ được hiện diện nếu bất kỳ thiết lập nào của CC được hiện diện trong Starter GPO.
User_Registry.pol                Một phần ‘User Configuration’ (UC) của GPO


File này chủ được hiện diện nếu bất kỳ thiết lập nào của UC được hiện diện trong Starter GPO.
Machine_Comment.cmtx    Gồm các comment (chú thích) được tạo trên
các thiết lập bên trong phần CC của Starter GPO (định dạng XML).


File này chỉ được hiện diện nếu tổi thiểu một thiết lập CC chú thích được liên kết với nó.
User_Comment.cmtx           Gồm các comment (chú thích) được tạo trên
các thiết lập bên trong phần UC của Starter GPO (định dạng XML).


File này chỉ được hiện diện nếu tổi thiểu một thiết lập UC chú thích được liên kết với nó.
Bảng 1

Một hạn chế đối với việc export Cabinet bạn chỉ thể export một Starter GPO trên một file Cabinet. vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường, vấn đề này sẽ được giới thiệu trong phần tiếp theo.

Các Backup Starter GPO tách biệt

Bạn phải tạo một quá trình backup tách biệt cho các Starter GPO. Điều này bởi chúng không được backup thông qua phương pháp GPMC "Backup All" bạn thể thực hiện với các GPO thông thường nhưng chúng một thủ tục backup riêng. Nếu bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All…”. Tùy chọn này sẽ backup tất cả các Starter GPO (xem hình 9).

Hình 9: Backup tất cả Starter GPO cùng một lúc
Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ thấy tùy chọn
“Back Up…”. Tùy chọn này sẽ tạo một backup chỉ cho riêng Starter GPO này.


Hình 10: Chọn một backup cục bộ

Ủy nhiệm quyền hạn

Cũng như nhiều tính năng khác của Windows, bạn thể ủy nhiệm các điều khoản cho phép đối với một người dùng hay nhóm nào đó . Trong trường hợp này, bạn thể ủy nhiệm các cho phép để tạo Starter GPO trong miền. Vấn đề này được thực hiện từ tab “Delegation”, đây một tab chỉ thấy khi mục “Starter GPOs” được chọn trong cây menu bên trái, bên trong GPMC (xem hình 11).

Hình 11: Tab Delegation cho Starter GPOs
Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới
SYSVOL (xem phần trên); chỉ người dùng hay các nhóm được ủy quyền mới hiện trong đây.
Danh Thành (Sưu tầm)

Đăng nhận xét

0 Nhận xét