Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy
(GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có
được khả năng linh hoạt
cao.
Khi mở GPMC 2.0 bạn có thể sẽ thấy một mục chứa mới (trống rỗng) có tên "Starter GPOs". Mục này có thể giữ những gì mà tôi gọi là các “mẫu” nhằm mục đích tạo các GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được cung cấp - từ ‘Computer Configuration’ và ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm,...). không có trong Starter GPOs, xem trong hình 1.
Hình 1: Các thiết
lập từ “Administrative Templates”
Khi tạo các GPO mới, bạn có thể chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn
gọi là mẫu) – để
dễ dàng cho việc tạo
đa GPO với cùng một cấu hình cơ sở, xem hình 2.
Một GPO mới sẽ gồm có tất cả các thiết lập chính
sách “Administrative Templates” từ
Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách “Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group Policy Management (AGPM). Mặc dù vậy, sản phẩm đó không nằm trong phạm vi của bài này nên chúng tôi sẽ giới thiệu cho các bạn
vào một dịp
khác trong các bài khác.
Thư mục mới trong SYSVOL
Nếu đây là lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền có liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút
“Create Starter GPOs Folder” hoặc chỉ cần kích chuột phải vào mục “Starter GPOs” và chọn “New…”, xem hình 3. Tùy chọn
sau đó sẽ tạo cho bạn một thư mục Starter GPOs.
Hộp thoại “New
Starter GPO” sẽ
xuất hiện, yêu
cầu bạn nhập vào tên và chú thích,
xem hình 4.
Lưu ý rằng, bất cứ thứ gì bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter
GPO này như một tài nguyên gốc. Văn bản sẽ được ghi lại với tư cách là comment của GPO. Khi bạn kích hoạt lần đầu tiên Starter GPOs trong miền, sẽ có một thư mục có tên "StarterGPOs" được tạo ra bên trong thư mục SYSVOL với đường dẫn dưới đây: “\\dthanh.local\SYSVOL\dthanh.local\StarterGPOs” – đây là nơi tất cả trò “ảo thuật” được thực hiện (xem
hình 5)
Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ
có một GUID duy nhất (giống như các GPO thông thường).
Vì vậy khi bạn tạo một GPO mới với Starter
GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con và các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục \\dthanh.local\SYSVOL\dthanh.local\Policies\[SomeNewGUID] (một GUID duy nhất đã tạo trong quá trình),
đến lúc này bạn
hãy chuẩn bị triển khai một GPO mới.
Khi kích chuột phải vào Starter GPO, xem hình 6, bạn có thể chọn để tạo “New GPO From Starter GPO…”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy
Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền và chọn tùy chọn: ”Create
a GPO in this domain,
and Link it here...” – chỉ lúc này hộp chọn
“Source Starter GPO” mới bị vô hiệu.
Hình 7: Source Starter GPO chuyển sang màu
xám
Cabinet và những thứ bên
trong
Có những thứ rất thú vị mà bạn có thể export các mẫu GPO (Starter GPOs) sang file Cabinet (.CAB) và sau đó import cabinet này vào một môi trường khác – hoàn toàn độc lập với domain/forest nguồn!
Chính vì vậy lúc này bạn có thể tạo một Starter GPO hoàn hảo, export nó (xem nút “Save as Cabinet…” trong hình 8) và sau đó mang nó ra bên ngoài, chia sẻ nó với các bạn của bạn, trên Website của bạn, triển khai nó trên tất cả các hệ thống mà bạn có thể giữ quyền kiểm soát,…. Sau quá trình import được thực hiện rất dễ dàng (xem nút “Load Cabinet…” trong hình 8), bạn hãy chuẩn bị tạo
các GPO mới với Starter GPO đóng vai trò cơ sở.
Nếu bạn cũng tò mò như tôi, thì có thể rất mệt với tất cả những gì bên trong file .CAB…. Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm có tối thiểu 2 (nếu không được
cấu hình) đến 6 file
nén, phụ thuộc vào những
thiết lập gì bạn đã cấu hình trong Starter GPO riêng:
Tên file
|
Nội dung
|
StarterGPO.tmplx
|
Gồm có
GUID, thông tin phiên bản,
tên, mô
|
tả…(định dạng XML)
|
|
File này luôn luôn nằm trong file
CAB
|
|
Report.html
|
Báo cáo các
thiết lập được tạo ra
và bao gồm như
|
một dưới dang
file HTML cho
mọi “export”.
|
|
Được thực hiện nhằm tạo tham
chiếu dễ dàng và
|
|
tài liệu xem xét.
|
|
File này luôn luôn nằm trong file
CAB
|
|
Machine_Registry.pol Một phần ‘Computer Configuration’ (CC) của
GPO
File
này
chỉ được hiện diện nếu có bất kỳ thiết lập nào
của CC được hiện diện trong Starter
GPO.
|
|
User_Registry.pol Một phần ‘User Configuration’ (UC) của GPO
File
này
chủ được hiện diện nếu bất kỳ thiết lập nào
của UC được hiện diện trong Starter
GPO.
|
|
Machine_Comment.cmtx Gồm có các comment (chú thích) được tạo trên
các
thiết lập bên
trong phần CC của Starter GPO (định dạng XML).
File
này
chỉ được hiện diện nếu có tổi thiểu một thiết lập CC có
chú thích được liên kết với nó.
|
|
User_Comment.cmtx Gồm có các comment (chú thích) được tạo trên
các
thiết lập bên
trong phần UC của Starter GPO (định
dạng XML).
File
này
chỉ được hiện diện nếu có tổi thiểu một thiết lập UC
có chú thích được
liên kết với nó.
|
Bảng 1
Một hạn chế đối với việc export
Cabinet là bạn chỉ có thể export
một Starter GPO trên một file Cabinet. Vì vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường,
vấn đề này sẽ được giới
thiệu trong phần tiếp
theo.
Các Backup Starter
GPO tách biệt
Bạn phải tạo một quá trình backup tách biệt cho các Starter
GPO. Điều này là bởi vì chúng không được backup thông qua phương pháp GPMC "Backup All" mà bạn có thể thực hiện với các GPO thông thường – nhưng chúng có một thủ tục backup
riêng. Nếu bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All…”.
Tùy chọn này sẽ backup
tất cả các Starter GPO (xem hình 9).
Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ
thấy tùy chọn
“Back
Up…”. Tùy chọn này sẽ tạo một backup chỉ cho
riêng Starter GPO này.
Ủy nhiệm quyền hạn
Hình 11: Tab Delegation cho Starter GPOs
Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới
SYSVOL (xem
phần trên); chỉ
có người
dùng hay các nhóm được
ủy quyền mới hiện trong đây.
Danh Thành (Sưu tầm)
0 Nhận xét