KhochứaADMTemplate Nếu bạn đã từng làm việc với Active Directory thì có lẽ đã biết về Group Policy. Một trong những thành phần chính của Group Policy Object là điều khiển trên Registry. Registry điều khiển bên trong Group Policy này được quản lý chính bởi cả các mẫu quản trị. Các mẫu quản trị này có rất nhiều lợi ích, tuy nhiên chúng cũng có một số nhược điểm. Một trong những nhược điểm có thể gây ra các vấn đề liên quan đến việc điều khiển sự quản lý các mẫu khi các phiên bản mới xuất hiện. Tuy nhiên có một giải pháp không những chỉ giải quyết được vấn đề này mà còn nhiều vấn đề khác xung quanh các mẫu này. Ở đây, bạn sẽ thấy một giải pháp - giải pháp khochứa - có thể giải quyết được nhiều vấn đề có liên quan tới các mẫu quản trị. Những cơ bản về các mẫu quản trị Các mẫu quản trị là các file văn bản có mã đơn giản để giúp Group Policy có thể thực hiện một số thay đổi Registry tùy chỉnh. Các mẫu này được chứa trong file có đuôi .ADM, đó cũng là lý do giải thích cho việc các file có đuôi này xuất hiện ở đây. Chúng thực sự cần thiết đối với Group Policy vì chúng có thể thực hiện hai chức năng khác nhau. Chức năng đầu tiên mà mẫu ADM thực hiện là tạo các chính sách và thiế t lập bên trong Group Policy Object Editor. Tất cả các thiết lập được tạo từ mẫu ADM được thể hiện dưới các nút Administrative Templates, bạn có thể xem trong hình một để có thể thấy rõ hơn điều này. Hình 1: Các nút của thành phần Administrative Templates được tạo thành bởi mẫu ADM có trong GPO. Mỗi một mẫu ADM lại có những thông tin cho cả người dùng và máy tính trong GPO. Có một số từ khóa được sử dụng trong mẫu ADM để phân biệt hai phần này. Chức năng thứ hai của mẫu này có liên quan đến mối quan hệ của người dùng và các thiết lập máy tính được tạo bên trong các file. Các mẫu ADM cũng chỉ thị chính xác đường dẫn Registry, giá trị, dữ liệu mà mỗi thiết lập thay đổi. Tất cả thiết lập người dùng trong các mẫu ADM sẽ cập nhật phần HKEY_CurrentUser của Registry, nơi các thiết lập máy tính cập nhật vùng HKEY_Local_Machine trong Registry. Hình 2 sẽ thể hiện một entry điển hình trong mẫu ADM có cập nhật một entry của Registry. Hình 2: Cú pháp ADMtemplate chỉ thị HKEY, đường dẫn, giá trị và dữ liệu cho mỗi thiết lập được tạo bên trong mẫu. Các mẫu ADM mặc định Với Windows Server 2003, các GPO của có có tổng số 5 mẫu ADM mặc định. Các mẫu ADM này được liên kết với nhau để quản lý điều khiển khía cạnh nào đó của Administrative Templates trong GPO, bạn có thể xem chi tiết trong bảng 1. Mẫu ADM Chức năng của các mẫu Conf.adm NetMeeting Inetres.adm Internet Explorer System.adm Các thiết lập hệ thống chung Wmplayer.adm Windows Media Player Wuau.adm Windows Update/Automatic Update Bảng 1: Mỗi mẫu ADM đều được thiết kế để kiểm soát các thiết lập nào đó trong GPO. Kích thước của toàn bộ các mẫu mặc định này gần 4MB. Do các file này không nhiều nên chúng chỉ cần ít không gian. Sự phình lên của mẫu ADM Để hiểu về sự phình lên của mẫu ADM, bạn phải hiểu cách GPO được lưu như thế nào. Mỗi GPO được chia nhỏ thành hai phần và mỗi một phần được lưu trong một vị trí khác nhau trên các bộ điều khiển miền. Phần có tên Group Policy Container (GPC), được lưu như một đối tượng trong Active Directory. Vai trò chính của phần này đối với GPO là giữ tất cả các liên kết, vị trí và đường dẫn về các mặc khác của GPO một cách tinh tế. GPC không có bất kỳ một thiết lập nào hoặc mẫu nào. Phần thứ hai của GPO có tên gọi là Group Policy Template (GPT), phần này được lưu dưới các file nằm dưới SYSVOL trên bộ điều khiển miền (domain controller). Đường dẫn chính xác của GPT là c:\Windows\SYSVOL\sysvol\<domainname>\Policies\<GUID of GPO>. Phần của GPO này chịu trách nhiệm 100% cho vi ệc lưu các thiết lập được cấu hình trong GPO. Không chỉ thực hiện lưu các thiết lập rất nhiều file mà nó còn phải giữ một bản copy các mẫu ADM này, bạn có thể xem trong hình 3. Hình 3: Các mẫu ADM được lưu trong mỗi GPT Vấn đề về việc phình lên đối với ADM là mỗi GPT lại lưu một bản copy các mẫu ADM chứ không phải chỉ một bản. Chính vì vậy, nếu bạn có nhiều mẫu ADM thì tổng số không gian chúng cần sẽ bị phình ra. Có nhiều công ty có tới trên một ngàn GPO, và mất đến khoảng 4GB không gian để lưu trữ các mẫu ADM này. Ngoài việc cần đến nhiều không gian, các mẫu ADM này cũng cần được tái tạo lại đối với tất cả các bộ điều khiển miền. File Replication Service (hiện được gọi là DFS Replication trong một số phiên bản của Windows) chịu trách nhiệm cho việc tái tạo này. Kiểm tra phiên bản ADM Một giải pháp để khắc phục hiện tượng phình lên đối với mẫu ADM này đơn giản là xóa chúng từ GPT. Điều này nghe có vẻ mang tính chất lý thuyết, tuy nhiên các điều khiển mặc định của mẫu ADM lại chỉ thị rằng mẫu ADM từ các GPT chỉ nên sử d ụng khi soạn thảo GPO. Để hiểu quá trình hệ thống kiểm soát các mẫu ADM như thế nào, chúng ta hãy kiểm tra một GPO sử dụng các mẫu ADM khi nó được soạn thảo ra sao. 1. Khi một GPO mới được soạn thảo ra, các phiên bản nội bộ của mẫu ADM sẽ được copy đến một thư mục ADM trong GPT. 2. Với những soạn thảo sau đó của GPO, hệ thống sẽ so sánh tem ngày của mẫu ADM đã đựơ c lưu trong GPT đối với mẫu ADM được lưu trên máy trong quá trình thực hiện quản trị. Nếu phiên bản nội bộ của GPO có tem ngày mới hơn thì nó sẽ được copy vào GPT, ghi đè lên phiên bản cũ. 3. Nếu GPT hoặc máy tính đang thực hiện soạn thảo GPO mà lại không có bản copy của ADM thì phần này của nút Administrative Templates trong GPOE sẽ không được cung cấp. Chúng gồm có các mẫu ADM mặc định hoặc các mẫu ADM tùy chỉnh. Can thiệp vào các mẫu ADM Sự can thiệp đôi khi có thể gây ra những vấn đề nghiêm trọng đối với việc quản lý toàn bộ Group Policy. Nó không chỉ có thể gây ra các vấn đề với việc tái tạo và lưu trữ mà còn biết được các phiên bản của các mẫu ADM được cập nhật nhanh chóng, và có thể tiềm ẩn những vấn đề không hay. Nếu một quản trị viên nào đó có ý không tốt đã thực hiện cập nhật mẫu ADM nội bộ bằng một thay đổi giá trị Registry và dữ liệu đang được cập nhật. Với hành vi mặc định về mẫu ADM được cập nhật, toàn bộ các mẫu ADM được lưu trong GPT có thể bị sửa đổi so với những gì đã soạn thảo trong các GPO. Việc tạo kho lưu trữ ADM Một giải pháp đối với việc nâng cấp cập nhật các mẫu ADM trong GPT để loại trừ tất cả những ảnh hưởng xấu đến các mẫu ADM là tạo một kho lưu trữ tập trung chúng. Chỉ cần một vài bước bạn có thể thực hiện được công việc này. Tuy nhiên bạn cần phải chú ý rằng lưu trữ tập trung là không chỉ trên một máy tính mà là trên mỗi máy tính thực hiện việc quản trị đối với GPO. Bằng cách đó, các phiên bản hiện hành của Windows làm việc với các mẫu ADM, nó hoàn toàn không thể sử dụng đường dẫn UNC cho các mẫu ADM. Để tạo một lưu trữ tập trung cho các mẫu ADM, chúng ta thực hiện theo các bước sau: 1. Xóa các mẫu ADM khỏi mỗi GPT. 2. Đặt một bản copy phiên bản mới nhất đối với mỗi mẫu ADM (mặc định và tùy chỉnh) vào thư mục C:\Windows\Inf trên mỗi desktop quản trị các GPO. 3. Tạo một GPO sẽ nhắm đến các máy tính đã bị thay đổi trong bước hai. Trong GPO, thay đổi thiết lập Always Use Local ADM Files for Group Policy Editor, thiết lập này có trong Computer Configuration\Administrative Templates\System\Group Policy. Thay đổi thiết lập sang “Enabled”. 4. Tạo một GPO nhắm cho các tài khoản người dùng có đặc quyền soạn thảo GPO, thay đổi thiết lậpTurn off Automatic Updates of ADM files có trong User Configuration\Administrative Templates\System\Group Policy sang “Enabled”. Lúc này, khi GPO được soạn thảo, nó sẽ chỉ sử dụng bản copy các mẫu ADM được lưu nội bộ. Việc soạn thảo GPO lúc này cũng sẽ phủ định việc kiểm tra phiên bản của các mẫu ADM trong cả hai vị trí, chỉ trả lời trên phiên bản n ội bộ. Cách khác, bạn cũng có thể bảo vệ các mẫu ADM bằng cách sử dụng một thiết lập chính sách mới được cung cấp trong PolicyMaker. Thiết lập này cho phép có thể thực hiện việc xóa một file, sau đó thực hiện copy. Mục đích là để xóa tất cả các mẫu ADM trên máy tính quản lý GPO khi máy tính này khởi động. Sau đó khi người dùng đăng nhập, các phiên bản chính xác của mẫu ADM sẽ được copy xuống máy tính t ừ một nơi an toàn trên mạng, Thiết lập mà bạn muốn cấu hình được đặt trong Computer Configuration và User Configuration sau khi cài đặt PolicyMaker. Hãy tìm kiếm trong nút Policymaker\Windows Settings, ở đây bạn có thể sẽ thấy Files policy. Sử dụng chức năng này bạn có thể tạo một chính sách cho máy tính để xóa các mẫu ADM, và các chính sách khác đối với phần người dùng để copy các mẫu ADM vào máy tính. Bạn sẽ chỉ tạo các thiết lập cho người dùng và máy tính thích hợp trong các CPO mà bạn đã tạo ở trên. Lưu ý: Các mẫu ADM không có định dạng cúa các thiết lập Registry mặc định trong GPO. Windows Vista và Windows Server 2008 sử dụng các file ADMX, đây là các file dựa trên XML. Với các công ty không chuyển sang Windows Vista hay Windows Server 2008, kho lưu trữ ADM là một tùy chọn lý tưởng. Kết luận Quản lý mẫu ADM là một vấn đề đặt ra khá thường xuyên. Đằng sau kịch bản xử lý và kiểm soát các mẫu rất khó có thể kiểm tra mà không sử dụng các thiết lập GPO. Tuy vậy các vấn đề với các m ẫu ADM xung quanh như sự phình lên, tái tạo và kiểm tra phiên bản, những hành vi xấu tiềm ẩn và tập trung hóa việc quản lý mẫu ADM là hoàn toàn có thể chỉ bằng một vài điều chỉnh bên trong hệ thống. Khi danh sách các tài khoản người dùng và máy tính được giảm xuống, bạn có thể thiết lập GPO để kiểm soát cách các hệ thống này quản lý mẫu ADM, tuy nhiên bạn phải biết các mẫu này đang được sử dụng ở đ âu. . nào đó của Administrative Templates trong GPO, bạn có thể xem chi tiết trong bảng 1. Mẫu ADM Chức năng của các mẫu Conf .adm NetMeeting Inetres .adm Internet. copy của ADM thì phần này của nút Administrative Templates trong GPOE sẽ không được cung cấp. Chúng gồm có các mẫu ADM mặc định hoặc các mẫu ADM tùy chỉnh.