KhochứaADMTemplate
Nếu bạn đã từng làm việc với Active Directory thì có lẽ đã biết về
Group Policy. Một trong những thành phần chính của Group Policy
Object là điều khiển trên Registry. Registry điều khiển bên trong
Group Policy này được quản lý chính bởi cả các mẫu quản trị. Các mẫu
quản trị này có rất nhiều lợi ích, tuy nhiên chúng cũng có một số nhược
điểm.
Một trong những nhược điểm có thể gây ra các vấn đề liên quan
đến
việc điều khiển sự quản lý các mẫu khi các phiên bản mới xuất hiện.
Tuy nhiên có một giải pháp không những chỉ giải quyết được vấn đề
này mà còn nhiều vấn đề khác xung quanh các mẫu này. Ở đây, bạn sẽ
thấy một giải pháp - giải pháp khochứa - có thể giải quyết được nhiều vấn đề có liên quan tới
các mẫu quản trị.
Những cơ bản về các mẫu quản trị
Các mẫu quản trị là các file văn bản có mã đơn giản để giúp Group Policy có thể thực hiện một
số thay đổi Registry tùy chỉnh. Các mẫu này được chứa trong file có đuôi .ADM, đó cũng là lý
do giải thích cho việc các file có đuôi này xuất hiện ở đây. Chúng thực sự cần thiết đối với
Group Policy vì chúng có thể thực hiện hai chức năng khác nhau.
Chức năng đầu tiên mà mẫu ADM thực hiện là tạo các chính sách và thiết lập bên trong Group
Policy Object Editor. Tất cả các thiết lập được tạo từ mẫu ADM được thể hiện dưới các nút
Administrative Templates, bạn có thể xem trong hình một để có thể thấy rõ hơn điều này.
Hình 1: Các nút của thành phần Administrative Templates được tạo thành bởi mẫu ADM có
trong GPO.
Mỗi một mẫu ADM lại có những thông tin cho cả người dùng và máy tính trong GPO. Có một số
từ khóa được sử dụng trong mẫu ADM để phân biệt hai phần này.
Chức năng thứ hai của mẫu này có liên quan đến mối quan hệ của người dùng và các thiết lập
máy tính được tạo bên trong các file. Các mẫu ADM cũng chỉ thị chính xác đường dẫn Registry,
giá trị, dữ liệu mà mỗ
i thiết lập thay đổi. Tất cả thiết lập người dùng trong các mẫu ADM sẽ cập
nhật phần HKEY_CurrentUser của Registry, nơi các thiết lập máy tính cập nhật vùng
HKEY_Local_Machine trong Registry. Hình 2 sẽ thể hiện một entry điển hình trong mẫu ADM
có cập nhật một entry của Registry.
Hình 2: Cú pháp ADMtemplate chỉ thị HKEY, đường dẫn, giá trị và dữ liệu cho mỗi thiết lập
được tạo bên trong mẫu.
Các mẫu ADM mặc định
Với Windows Server 2003, các GPO của có có tổng số 5 mẫu ADM mặc định. Các mẫu ADM
này được liên kết với nhau để quản lý điều khiển khía cạnh nào đó của Administrative Templates
trong GPO, bạn có thể xem chi tiết trong bảng 1.
Mẫu ADM Chức năng của các mẫu
Conf.adm NetMeeting
Inetres.adm Internet Explorer
System.adm Các thiết lập hệ thống chung
Wmplayer.adm Windows Media Player
Wuau.adm Windows Update/Automatic Update
Bảng 1: Mỗi mẫu ADM đều được thiết kế để kiểm soát các thiết lập nào đó trong GPO.
Kích thước của toàn bộ các mẫu mặc định này gần 4MB. Do các file này không nhiều nên chúng
chỉ cần ít không gian.
Sự phình lên của mẫu ADM
Để hiểu về sự phình lên của mẫu ADM, bạn phải hiểu cách GPO được lưu như thế nào. Mỗi
GPO được chia nhỏ thành hai phần và mỗi một phần được lưu trong một vị trí khác nhau trên các
bộ điều khiển miền.
Phần có tên Group Policy Container (GPC), được lưu như một đối tượng trong Active Directory.
Vai trò chính của phần này đối với GPO là giữ tất cả các liên kết, vị trí và đường dẫn về các mặc
khác của GPO một cách tinh tế. GPC không có bất kỳ một thiết lập nào hoặc mẫu nào.
Phần thứ hai của GPO có tên gọi là Group Policy Template (GPT), phần này được lưu dưới các
file nằm dưới SYSVOL trên bộ điều khiển miền (domain controller). Đường dẫn chính xác của
GPT là c:\Windows\SYSVOL\sysvol\<domainname>\Policies\<GUID of GPO>. Phần của GPO
này chịu trách nhiệm 100% cho việc lưu các thiết lập được cấu hình trong GPO. Không chỉ thực
hiện lưu các thiết lập rất nhiều file mà nó còn phải giữ một bản copy các mẫu ADM này, bạn có
thể xem trong hình 3.
Hình 3: Các mẫu ADM được lưu trong mỗi GPT
Vấn đề về việc phình lên đối với ADM là mỗi GPT lại lưu một bản copy các mẫu ADM chứ
không phải chỉ một bản. Chính vì vậy, nếu bạn có nhiều mẫu ADM thì tổng số không gian chúng
cần sẽ bị phình ra. Có nhiều công ty có tới trên một ngàn GPO, và mất đến khoảng 4GB không
gian để lưu trữ
các mẫu ADM này.
Ngoài việc cần đến nhiều không gian, các mẫu ADM này cũng cần được tái tạo lại đối với tất cả
các bộ điều khiển miền. File Replication Service (hiện được gọi là DFS Replication trong một số
phiên bản của Windows) chịu trách nhiệm cho việc tái tạo này.
Kiểm tra phiên bản ADM
Một giải pháp để khắc phục hiện tượng phình lên đối với mẫu ADM này đơn giản là xóa chúng
từ GPT. Điều này nghe có vẻ mang tính chất lý thuyết, tuy nhiên các điều khiển mặc định của
mẫu ADM lại chỉ thị rằng mẫu ADM từ các GPT chỉ nên sử dụng khi soạn thảo GPO.
Để hiểu quá trình hệ thống kiểm soát các mẫu ADM như thế nào, chúng ta hãy kiểm tra một
GPO sử dụng các mẫu ADM khi nó được soạn thảo ra sao.
1. Khi một GPO mới được soạn thảo ra, các phiên bản nội bộ của mẫu ADM sẽ được copy đến
một thư mục ADM trong GPT.
2. Với những soạn thảo sau đó của GPO, hệ thống sẽ so sánh tem ngày của mẫu ADM đã đựơc
lưu trong GPT đối vớ
i mẫu ADM được lưu trên máy trong quá trình thực hiện quản trị. Nếu
phiên bản nội bộ của GPO có tem ngày mới hơn thì nó sẽ được copy vào GPT, ghi đè lên phiên
bản cũ.
3. Nếu GPT hoặc máy tính đang thực hiện soạn thảo GPO mà lại không có bản copy của ADM
thì phần này của nút Administrative Templates trong GPOE sẽ không được cung cấp. Chúng
gồm có các mẫu ADM mặc định hoặc các mẫu ADM tùy chỉnh.
Can thiệp vào các mẫu ADM
Sự can thiệp
đôi khi có thể gây ra những vấn đề nghiêm trọng đối với việc quản lý toàn bộ Group
Policy. Nó không chỉ có thể gây ra các vấn đề với việc tái tạo và lưu trữ mà còn biết được các
phiên bản của các mẫu ADM được cập nhật nhanh chóng, và có thể tiềm ẩn những vấn đề không
hay. Nếu một quản trị viên nào đó có ý không tốt đã thực hiện cập nhật mẫu ADM nội bộ bằng
một thay đổi giá trị Registry và dữ liệu đang được cập nhật. Với hành vi mặc định về mẫu ADM
được cập nhật, toàn bộ các mẫu ADM được lưu trong GPT có thể bị sửa đổi so với những gì đã
soạn thảo trong các GPO.
Việc tạo kho lưu trữ ADM
Một giải pháp đối với việc nâng cấp cập nhật các mẫu ADM trong GPT để loại trừ tất cả những
ảnh hưởng xấu đến các mẫu ADM là tạo một kho lưu trữ tập trung chúng. Chỉ cần một vài bước
bạn có thể thực hiện được công việc này. Tuy nhiên bạn cần phải chú ý rằng lưu trữ tập trung là
không chỉ trên một máy tính mà là trên mỗi máy tính thực hiện việc quản trị đối với GPO. Bằng
cách đó, các phiên bản hiện hành của Windows làm việc với các mẫu ADM, nó hoàn toàn không
thể sử d
ụng đường dẫn UNC cho các mẫu ADM.
Để tạo một lưu trữ tập trung cho các mẫu ADM, chúng ta thực hiện theo các bước sau:
1. Xóa các mẫu ADM khỏi mỗi GPT.
2. Đặt một bản copy phiên bản mới nhất đối với mỗi mẫu ADM (mặc định và tùy chỉnh) vào thư
mục C:\Windows\Inf trên mỗi desktop quản trị các GPO.
3. Tạo một GPO sẽ nhắm đến các máy tính đã bị thay đổi trong bước hai. Trong GPO, thay đổi
thiết lập Always Use Local ADM Files for Group Policy Editor, thiết lập này có trong Computer
Configuration\Administrative Templates\System\Group Policy. Thay đổi thiết lập sang
“Enabled”.
4. Tạo một GPO nhắm cho các tài khoản người dùng có đặc quyền soạn thảo GPO, thay đổi thiết
lậpTurn off Automatic Updates of ADM files có trong User Configuration\Administrative
Templates\System\Group Policy sang “Enabled”.
Lúc này, khi GPO được soạn thảo, nó sẽ chỉ sử dụng bản copy các mẫu ADM được lưu nội bộ.
Việc soạn thảo GPO lúc này cũng sẽ phủ định việc kiểm tra phiên bản của các mẫu ADM trong
cả hai vị trí, chỉ trả lời trên phiên bản nội bộ.
Cách khác, bạn cũng có thể bảo vệ các mẫu ADM bằng cách sử dụng một thiết lập chính sách
mới được cung cấp trong PolicyMaker. Thiết lập này cho phép có thể thực hiện việc xóa một
file, sau đó thực hiện copy. Mục đích là để xóa tất cả các mẫu ADM trên máy tính quản lý GPO
khi máy tính này khởi động. Sau đó khi người dùng đăng nhập, các phiên bản chính xác của mẫu
ADM sẽ được copy xuống máy tính từ một nơi an toàn trên mạng, Thiết lập mà b
ạn muốn cấu
hình được đặt trong Computer Configuration và User Configuration sau khi cài đặt PolicyMaker.
Hãy tìm kiếm trong nút Policymaker\Windows Settings, ở đây bạn có thể sẽ thấy Files policy. Sử
dụng chức năng này bạn có thể tạo một chính sách cho máy tính để xóa các mẫu ADM, và các
chính sách khác đối với phần người dùng để copy các mẫu ADM vào máy tính. Bạn sẽ chỉ tạo
các thiết lập cho người dùng và máy tính thích hợp trong các CPO mà bạn đã tạo ở trên.
Lưu ý
:
Các mẫu ADM không có định dạng cúa các thiết lập Registry mặc định trong GPO. Windows
Vista và Windows Server 2008 sử dụng các file ADMX, đây là các file dựa trên XML. Với các
công ty không chuyển sang Windows Vista hay Windows Server 2008, kho lưu trữ ADM là một
tùy chọn lý tưởng.
Kết luận
Quản lý mẫu ADM là một vấn đề đặt ra khá thường xuyên. Đằng sau kịch bản xử lý và kiểm soát
các mẫu rất khó có thể kiểm tra mà không sử dụng các thiết lập GPO. Tuy vậy các vấn đề với các
m
ẫu ADM xung quanh như sự phình lên, tái tạo và kiểm tra phiên bản, những hành vi xấu tiềm
ẩn và tập trung hóa việc quản lý mẫu ADM là hoàn toàn có thể chỉ bằng một vài điều chỉnh bên
trong hệ thống. Khi danh sách các tài khoản người dùng và máy tính được giảm xuống, bạn có
thể thiết lập GPO để kiểm soát cách các hệ thống này quản lý mẫu ADM, tuy nhiên bạn phải biết
các mẫu này đang được sử dụng ở đâu.
. nào đó của Administrative Templates
trong GPO, bạn có thể xem chi tiết trong bảng 1.
Mẫu ADM Chức năng của các mẫu
Conf .adm NetMeeting
Inetres .adm Internet. copy của ADM
thì phần này của nút Administrative Templates trong GPOE sẽ không được cung cấp. Chúng
gồm có các mẫu ADM mặc định hoặc các mẫu ADM tùy chỉnh.