Windows Server 2003 là một môi trường rộng lớn, có rất nhiều ngóc ngách tại đây và lẽ tất nhiên là sẽ có những thứ trông tương tự như nhau mặc dù chúng
chẳng có mối liên quan gì. Trong phạm vị của đề tài này tôi muốn nói đến 2 thứ như vậy đối với chính sách nhóm (GP) và chúng hoàn toàn là riêng biệt.
1,Dịch vụ đầu cuối (Terminal Services)
Đây là dịch vụ được xây dựng sẵn trong Windows Server 2003, để cấu hình dịch vụ này ta sử dụng công cụ Terminal Services Configuration trong
Administrative Tools, hoặc vào Start/Run gõ tscc.msc.
Thoạt trông đây có vẻ giống cấu hình chính sách nhóm, thực tế là không. Tuy nhiên Windows 2003 có rất nhiều thiết lập chính sách và có 1 số được ánh xạ sang bảng điều khiển này.
2, Dịch vụ chọn đường và truy cập từ xa (Routing and Remote Access)
Đây là dịch vụ cho phép người dùng kết nối đến Windows Server 2003 sử dụng thông qua Dial-in hay mạng riêng ảo (Virtual Private Network - VPN). Để quy định ai co quyền truy cập thông qua các cổng, Windows Server 2003 đã cung cấp 1 loạt các quy tắc được gọi là Remote Access Policies. Đây là lý do dễ gây nhầm lẫn với chính sách nhóm.
E, Tổng kết chương
Kết thúc chương 2 chúng ta đã tìm hiểu được những khái niệm cơ bản nhất về chính sách nhóm như thế nào là chính sách nhóm, đối tượng chính sách nhóm, công cụ cấu hình chính sách nhóm.
Đi sâu hơn vào các khái niệm bên trong chúng ta còn hiểu được về các thực thể chính sách nhóm được phân thành các node hay các nhánh. Các thực thể này chia thành 2 nửa chính là cấu hình máy tính và cấu hình người dùng. Thành phần nhỏ nhất chính là các thiết lập chính sách nhóm.
Để làm rõ hơn về chính sách nhóm chúng ta cũng đã đi qua 2 ví dụ 1 tổng quát và1 cụ thể và có kết quả rõ ràng.
Cuối cùng là sự phân biệt đối với những công cụ hay dịch vụ dễ gây lầm tưởng là chính sách nhóm nhưng có chức năng khác hẳn.
---
Chương 3 - Quản lý chính sách nhóm với GPMC
Ở chương 2 chúng ta đã xem xét tất cả các khái niệm cơ bản nhất về GPO, các công cụ thiết lập cho GPO. Ở chương này chúng ta sẽ tìm hiểu về một công cụ tổng hợp rất hữu ích dành cho quản lý và thiết lập các GPO. Đó là GPMC. Nắm vững cách sử dụng công cụ này chúng ta sẽ đỡ rất nhiều thời gian trong việc thao tác và xử lý các chính sách. Kết thúc chương này chúng ta sẽ có được các kiến thức sau :
- Cài đặt GPMC
- Những chức năng chung của GPMC - Bảo mật và phân quyền với GPMC - Tính toán RSoP với GPMC
- Sao lưu và phục hồi các GPO - Tìm kiếm GPO với GPMC
-
A, Cài đặt GPMC
1,GPMC là gì ?
Bảng điều khiển quản lý chính sách nhóm – Group Policy Management Console (GPMC) là một công cụ dùng để quản lý chính sách nhóm, nó có thể quản lý gần như mọi khía cạnh của các chính sách trong AD hay môi trường cục bộ.
2,Mục tiêu của việc thiết kế và sử dụng GPMC
Tại sao chúng ta phải sử dụng GPMC trong khi chúng ta đã có các công cụ được cung cấp sẵn khi cài đặt AD ?
Mục đích chính của GPMC là cung cấp một cái nhìn trung tâm nhất đối với chính sách nhóm.
GPMC được Microsoft tạo ra với một giao diện hết sức trong sáng và dễ hiểu để quản lý một cách tập trung gần như mọi thứ liên quan đến chính sách trong miền. Microsoft đã phát triển nó vì tương lai của môi trường Active Directory và kèm theo rất nhiều thứ hỗ trợ như White Papers, TechNet Articles, paid phone support, free newsgroup support, Microsoft Official Curriculum.
GPMC thực chất cũng là một Snap-in của bảng điều khiển MMC có thể quản lý cơ chế hoạt động đăng sau các chính sách nhóm, giúp chúng ta đào sâu và tiếp cận với những yếu tố được dựng sẵn trong AD.
3,Môi trường hoạt động của GPMC
GPMC có thể chạy cả trên máy tính cục bộ và trên miền. Tuy nhiên nó đòi hỏi có .NET Framework và Service Pack 1 được cài đặt sẵn.
4,Cài đặt GPMC trên máy chủ quản trị miền
Để có thể cài đặt GPMC bạn phải download bộ cài đặt GPMC từ địa chỉ sau:
www.microsoft.com/grouppolicy
Sau khi download về bạn sẽ được một tệp tin là GPMC.msi, chạy tệp tin này sẽ hiện trình cài đặt GPMC.
Khi chúng ta đã chạy GPMC trong hệ thống thì sẽ có kết quả thể hiện ngay :
Trong hình trên ta thấy trong cửa sổ Properties của OU Security, tại thẻ Group Policy có liên kết đến GPMC.
B, Những thành phần và chức năng chung của GPMC
GPMC có thể nói là tổng hợp cả hai công cụ quản lý Domain Policy và Domain Controller Policy và dù là quản lý trên toàn miền, trên 1 OU nào đó hay chỉ riêng máy chủ quản trị miền thì đều xuất hiện 4 thẻ sau :
- Scope : Cung cấp cho ta một cái nhìn lướt qua về thời gian và địa điểm mà đối tượng chính sách nhóm được thi hành.
- Details : Chứa các thông tin chi tiết về miền, người tạo ra (sở hữu) GPO, thời gian GPO được tạo ra, thời gian lần cuối cùng GPO được sửa đổi, trạng thái của GPO,…
- Settings : Cho ta thấy 1 cách tổng quát những gì được thiết lập bên trong 1 GPO
Trong hình trên ta thấy có 1 số chính sách đã được thiết lập chẳng hạn như
Nếu muốn chỉnh sửa một thiết lập nào đó ta chỉ cần kich chuột phải vào vùng thiết lập và chọn Edit, Group Policy Object Editor sẽ xuất hiện.
Nếu cần lưu lại bản báo cáo các thiết lập này chỉ cần lích chuột phải vào vùng thiết lập và chọn Save Report. Một bản báo cáo HTML sẽ được tạo ra và bạn có thể gửi mail cho cấp trên.
- Delegation : Cho phép ta thiết lập bảo mật đối với những người có khả năng thao tác với GPO hay các liên kết.
1, Tăng, giảm độ ưu tiên khi có nhiều GPO
Khi trong một site, một miền hay một OU có nhiều GPO được xếp theo thứ tự từ trên xuống dưới, VD :
- GPO1 : Enforce 50MB Disk Quotas. - GPO2 : Enforce 40MB Disk Quotas. GPO nào sẽ được áp dụng ?
Các máy trạm khi nhận được nhiều GPO từ phía máy chủ sẽ xử lý các GPO này theo thứ tự từ dưới lên trên. Do đó GPO2 sẽ được xử lý trước, sau đó mới đến GPO1, do đó GPO1 sẽ được áp dụng cho toàn miền hay toàn OU.
Như vậy khi có nhiều GPO cùng mức nếu muốn GPO nào sẽ được triển khai trong miền, trong site hay trong OU ta chỉ cần thay đổi lại vị trí thứ tự các GPO.
2, Dừng 1 GPO đang được thi hành
Khi một GPO đang được thi hành, nếu vì một lý do nào đó mà phải ngừng thi hành, chẳng hạn do người dùng phàn nàn rằng vì chính sách này mà một số thứ đã chạy không đúng. Khi đó ta sẽ có một số giải pháp để ngừng ngay GPO : a, Vô hiệu hoá “Link Enabled ” :
Nhấn chuột phải vào GPO cần ngừng lại, bỏ dấu tick ở trạng thái Link Enabled.
Trong hình trên ta đã bỏ lựa chọn Link Enabled ở “chính sách bảo mật”. Hành động này sẽ loại bỏ liên kết giữa OU Security và GPO chính sách bảo mật.
b, Vô hiệu hoá một nửa (hoặc cả 2 nửa) của GPO
Đây chính là cách thứ 2 để dừng thi hành 1 GPO, ta biết 1 GPO có 2 nửa là
Computer Configuration và User Configuration. Ta có thể lựa chọn giữa việc vô hiệu hoá 1 trong 2 nửa hoặc cả 2.
Việc vô hiệu hoá 1 nửa hoặc cả GPO trong thực tế sẽ làm cho thời gian khởi độngvà đăng nhập nhanh hơn 1 ít, sở dĩ có việc này là do mỗi khi ta thêm một GPO vào hệ thống sẽ mất thêm một khoảng thời gian khi khởi động và đăng nhập để xử lý các chính sách. Microsoft đã gọi điều này là thay đổi chính sách nhóm để tăng hiệu năng.
Để thực hiện điều này, từ cửa sổ GPMC, ta nhấn chuột vào GPO muốn điều chỉnh rồi chọn thẻ Details.
Hình trên cho chúng ta thấy các lựa chọn để vô hiệu hoá 1 nửa hay toàn bộ GPO.
Việc vô hiệu hoá 1 GPO có lợi là nó cho phép ta kích hoạt trở lại hết sức nhanh chóng
c, Xoá và tháo liên kết GPO
(*) Tháo liên kết GPO
Hay còn gọi là xoá liên kết GPO, để làm được điều này ta kích chuột phải vào liên kết GPO (1 liên kết GPO bao giờ cũng có dấu mũi tên góc dưới cùng bên trái). Sau đó chọn Delete :
Việc tháo liên kết này sẽ chỉ huỷ bỏ mối liên kết giữa GPO và OU mà thôi chứ không xóa hẳn GPO vì GPO được lưu giữ trong Group Policy Objects Container :
(*) Xoá GPO
Để xoá một GPO ta kích chuột phải vào một GPO nào đó bên trong Group Policy Objects Container, chọn Delete :
Việc xoá một GPO đồng nghĩa với việc xoá hết các liên kết của GPO đó với các OU. Việc xoá một GPO ảnh hưởng rất lớn đến hệ thống do đó phải hết sức cẩn thận và nên sao lưu lại đề phòng xoá nhầm.
3, Ngăn chặn kế thừa
Như đã nói từ trước, khi các OU được lồng vào nhau thì OU con sẽ chịu tác động của tất cả các GPO liên kết đến OU cha, ngược lại thì không. Đó được gọi là sự kế thừa GPO. VD như OU là Human Resource và Domain, OU Human Resource sẽ chịu tác động của các GPO từ Default Domain Policy. Sự kế thừa này là mặc định tuy nhiên có những trường hợp mà ta không hề mong muốn OU con chịu sự kế thừa mà hoàn toàn độc lập với các chính sách riêng. Để làm được như vậy ta kích chuột phải vào OU con và chọn Block Inheritance :
Nhìn vào hình trên ta thấy OU Human Resource đã bị Block Inheritance và sẽ có hình dấu chấm than ở góc dưới cùng bên trái.
4, Chức năng Enforced
Bảo đảm rằng các thiết lập chính sách ở mức cao hơn sẽ luôn được kế thừa bởi mức thấp hơn, bất kể mức tấp hơn đã được thiết lập để chặn kế thừa bởi quản trị viên ở mức thấp hơn. Để làm được điều này, ta chọn một GPO ở OU cha nào đó, kích chuột phải và chọn Enforced từ menu ngữ cảnh hiện ra
Sau khi Enforce sẽ xuất hiện biểu tượng khoá ở góc dưới bên trái của GPO. Nhìn vào hình trên ta thấy “Chinh sach nhan su” đã được kích hoạt tính năng Enforced và mặc dù OU Human Resource đã được Block Inheritance nhưng OU Security vẫn chịu tác động của “Chinh sach nhan su”.
C, Bảo mật và phân quyền với GPMC
1, Lọc phạm vi của GPO
Chúng ta đã biết rằng chính sách nhóm không áp dụng cho một nhóm cụ thể nào cả mà áp dụng cho site, domain hay OU. Do đó để 1 nhóm hay 1 người dùng nào đó chịu tác động của chính sách nhóm thì phải đặt vào 1 OU nào đó. Sau đó ta sẽ cho GPO liên kết đến OU đó. Điều này có nghĩa là toàn OU sẽ chịu tác
động của GPO, không có người dùng nào trong OU có đặc quyền hơn những người còn lại. Vấn đề đặt ra là liệu ta có thể áp dụng GPO cho một cá nhân riêng biệt nào đó trong OU không ? Điều này hoàn toàn có thể nếu chúng ta lọc chính sách nhóm (Filter Group Policy). Việc lọc chính sách nhóm này sẽ làm cho việc quản lý chặt chẽ hơn do nó tạo ra các phạm vi quản lý (Scope of Management - SOM)
Để lọc chính sách nhóm chúng ta có 2 phương pháp sau :
a, Sử dụng “Security Filtering” để lọc ra những người chịu tác động
Khi ta liên kết một GPO cho một OU nào đó thì mặc định trong mục Security Filtering tại thẻ Scope chỉ có những người dùng đã được xác thực (Authenticated Users) tức là các thành viên của OU đó :
Muốn chỉ một cá nhân nào đó của OU chịu tác động của GPO ta phải loại bỏ Authenticated Users bằng nút Remove và thêm người dùng đó vào bằng nút
Add :
Như vậy theo hình trên ta thấy được chỉ có tài khoản vinh là chịu tác động của “Chinh sach bao mat” còn các thành viên khác của OU Security thì không. Một điều nữa là khi ta thêm một tài khoản người dùng vào danh sách lọc này thì người dùng đó chỉ có 2 quyền là “read” và “Apply Group Policy”
b, Định ra những người không chịu tác động
Ở phương pháp 1 ta đã sử dụng Security Filtering để lọc ra những người chịu sự tác động của chính sách nhóm, còn đối với phương pháp này thì lại ngược lại, ta sẽ chỉ ra người nào không chịu sự tác động của chính sách. Thực ra phương pháp này rất đơn giản : Nhìn vào hình trên các bạn thấy mỗi tài khoản người dùng có 2 dạng cấp phép là “Allow” và “Deny”, nếu muốn người dùng có quyền gì ta sử dụng Allow còn ngược lại thì sử dụng Deny. Nếu ta muốn người dùng không chịu tác động của chính sách nhóm chỉ cần chọn Deny ở lựa chọn Apply Group Policy.
Để thêm vào các người dùng và bỏ quyền chịu sự tác động của chính sách nhóm ta nhấn vào nút Advanced tại thẻ Delegation.
2, Gán cấp phép cho người dùng đối với một GPO đã tồn tại
Một GPO chỉ có thể được chỉnh sửa và thay đổi bởi một trong những tài khoản người dùng sau :
- Thành viên của nhóm Domain Admins - Thành viên của nhóm Enterprise Admins - Người đã tạo ra GPO đó.
Mặc định là vậy, tuy nhiên ta có thể cấp phép cho một người dùng nào đấy không thuộc một trong ba dạng trên có thể thay đổi GPO bất kỳ.
Để thực hiện điều này, tại thẻ Delegation ta nhấn nút Add để thêm một người dùng vào, sẽ có một danh sách các quyền mà người dùng này được cung cấp :
Nhìn hình trên ta thấy trong danh sách này có 3 lựa chọn là : - Chỉ đọc
- Chỉnh sửa các thiết lập
- Chỉnh sửa các thiết lập, xoá, thay đổi bảo mật (Gần như toàn bộ quyền đối với một GPO).
3, Gán quyền tạo GPO trong miền cho người dùng
Ta biết rằng chỉ có tài khoản người dùng thuộc nhóm Group Policy Creators Owner mới có quyền tạo ra GPO, người dùng bình thường không thể tạo GPO
được. Tuy vậy trong GPMC chúng ta có thể gán quyền tạo GPO cho một người dùng bất kỳ.
Để thực hiện điều này, tại khung bên trái của GPMC ta chọn Group Policy Objects. Đây là nơi chứa tất cả các GPO của miền. Phần quản lý chi tiết xuất hiện ở khung bên phải, ta chọn thẻ Delegation, chọn Add để thêm vào tài khoản người dùng mà ta muốn cấp quyền tạo GPO. Bất kỳ người dùng nào xuất hiện trong danh sách này đều có quyền tạo GPO :
4, Các cấp phép đặc biệt đối với Group Policy
Ở cấp độ miền và OU chúng ta có ba cấp phép đặc biệt. Để tìm hiểu về 3 cấp phép này ta sẽ lựa chọn một OU bất kỳ từ khung bên trái của GPMC, ta lấy OU Security làm ví dụ. Tại khung bên phải ta chọn thẻ Delegation, tại hộp thả dọc
Permission sẽ xuất hiện 3 cấp phép :
- Link GPOs : Đây là cấp phép duy nhất trong ba cấp phép có thể cấu hình ở cả ba mức site, miền và OU. Ở chương 2 ta có nói đến việc gán quyền điều khiển một OU cho một người dùng bằng công cụ “Active Directory Users