Chúng ta đã tạo ra các chính sách nhóm và triển khai từ phía máy chủ nhưng nếu các thiết lập lại không hoạt động trên máy khách thì ta phải xử lý ra sao.
Trước hết chúng ta phải ghi nhớ các bước chính sách nhóm được xử lý : - Chính sách nhóm được triển khai trong miền
- Máy trạm gửi yêu cầu chính sách nhóm tại rất nhiều thời điểm trong ngày - Máy trạm kết nối đến máy chủ quản trị miền để có được các GPO mới nhất - Các CSE xử lý các GPO cần thiết
Dựa trên các bước này chúng ta sẽ xem xét đẻ tìm ra nguyên nhân khiến GPO không có tác dụng tại máy trạm.
1, Kiểm tra cơ bản
Những chi tiết nhỏ nhất đôi khi cũng có thể gây ra trục trặc, do đó chúng ta phải xem xét tất cả.
a, Kiểm tra GPO hay liên kết có bị vô hiệu hoá ?
Sử dụng công cụ GPMC, kiểm tra tại thẻ Details của GPO xem thiết lập GPO Status có bị vô hiệu hoá không ? Nếu có thì chuyển về Enabled.
b, Kiểm tra tính kế thừa
- Như đã đề cập từ trước, khi có nhiều GPO áp dụng cho cùng một mức, hệ thống sẽ xét theo thứ tự từ dưới lên và nếu 2 GPO có thiết lập ở cùng một chính sách thì GPO có thứ tự trên sẽ “chiến thắng”. Do đó nếu cần thiết phải chỉnh lại thứ tự ưu tiên.
- Nếu chúng ta để OU này trong OU kia thì phải kiểm tra tuỳ chọn Block Inheritance có được thiết lập ở OU con không. Nếu GPO liên kết với OU cha là cần thiết với OU con thì phải huỷ tuỳ chọn ngay, ngược lại nếu GPO này lại gây ra sự xung đột chính sách ta lại phải lựa chọn khoá kế thừa.
- Enforced cũng là một tuỳ chọn cần phải kiểm tra vì nó sẽ tạo sự kế thừa bắt buốc của OU con với OU cha.
c, Kiểm tra các cấp phép đã chính xác chưa
Ở chương 3 chúng ta đã nói đến việc cấp phép cho một người dùng duy nhất trong một OU chịu tác động của chính sách nhóm. Nếu như một người dùng đăng nhập vào máy trạm và chính sách nhóm không chịu tác động của chính sách nhóm chúng ta cần kiểm tra xem người dùng này đã được thêm vào danh sách chịu tác động thông qua Security Filtering chưa. Nếu đã được thêm vào danh sách rồi thì kiểm tra cấp phép Apply Group Policy đã được lựa chọn chưa, có bị Deny không ?
2, Kiểm tra nâng cao
Nếu như đã kiểm tra hết những phần cơ bản rồi mà không tìm ra nguyên nhân gây lỗi, chúng ta sẽ tiến hành các bước cao hơn.
a, Khởi động và đăng nhập
Các GPO chỉ thi hành khi người dùng đã khởi động máy và đăng nhập thành công. Trong các chính sách hệ thống ở nhánh máy tính có một chính sách là
Always wait for the network at computer startup and logon. Chính sách này quy định rằng chính sách nhóm chỉ thi hành khi kết nối mạng đã sẵn sàng. Nếu mạng chưa sẵn sàng các chính sách nhóm. Do đó việc kiểm tra các chính sách liên quan đến khởi động và đăng nhập là cần thiết
b, Kiểm tra GPC và GPT có được đòng bộ hoá chuẩn không ?
Chúng ta đã biết GPC đặt tại AD và được đồng bộ hoá thông qua AD trong khi đó GPT đặt tại SYSVOL và được đồng bộ hoá thông qua RFS. GPO và GPT đồng bộ hoá độc lập với nhau và tại các thời điểm khác nhau, tuy nhiên chúng sẽ hội tụ lại sau khi hoàn thành. Chỉ khi đã hội tụ lại đầy đủ thì GPO mới có thể thi hành. Do đó đây cũng là một bước kiểm tra quan trọng. Chúng ta có thể sử dụng hai công cụ là gpotool và replmon để kiểm tra.
c, Bạn đã đăng nhập thực sự chưa ?
Trong Windows XP để chắc chắn người dùng và máy tính đã đăng nhập vào mạng, chúng ta sẽ sử dụng một công cụ là kerbtray. Công cụ này nằm trong bộ Resource Kit của Microsoft. Khi ta chạy công cụ này sẽ có một biểu tượng hiện ra ở khay hệ thống. Nếu người dùng và máy tính đã hoàn toàn đăng nhập biểu tượng sẽ có màu xanh lá cây còn ngược lại sẽ có dấu hỏi.
d, Tài khoản đã bị di chuyển
Khi một tài khoản máy tính hoặc người dùng bị di chuyển từ OU này sang OU khác, Windows XP sẽ phải mất khoảng 30 phút để nhận ra thực tế này. Và trong khoảng thời gian đó tất nhiên nó không thể thực hiện các chính sách áp dụng cho tài khoản này. Tuy nhiên chúng ta không cần phải chờ đợi cho đên khi hệ điều hành chấp nhận sự di chuyển mà có thể sử dụng công cụ Active Directory Users and Computers để làm cho sự thay đổi có tác dụng ngay lập tức với các máy trạm :
Nhấn chuột phải vào tên miền và chọn Connect to Domain Controller.
Việc kết nối lại với máy chủ quản trị miền sẽ giúp làm tươi lại các OU và máy trạm có thể nhận ra sự thay đổi. Nếu máy trạm vẫn chưa nhận ra sự thay đổi ta sẽ đăng nhập lại hoặc khởi động lại hệ điều hành.
e, Thời gian giữa máy chủ và máy trạm
Một nguyên nhân nữa có thể xảy ra khiến cho máy trạm không thi hành chính sách nhóm, đó là vấn đề thời gian hệ thống. Nếu thời gian hệ thống giữa máy chủ và máy trạm chênh nhau từ 5 phút trở lên sẽ làm cho giao thức bảo mật Kerberos không chấp nhận sự kiện đăng nhập, và như đã nói ở trên, việc đăng nhập chưa hoàn toàn sẽ làm cho hệ điều hành máy trạm không nhận được GPO. Do đó thời gian giữa máy chủ và máy trạm phải khớp nhau.
f, Kiểm tra tường lửa
Windows XP SP2 và Windows 2003 được tích hợp sẵn tường lửa trong hệ thống. Nếu tường lửa đang được bật chính sách nhóm sẽ không thể đến được máy trạm do đó đây cũng là là một nguyên nhân cần phải kiểm tra.
g, Vị trí người dùng, máy tính
Vấn đề cuối cùng mà tôi muốn kiểm tra đến chính là Tài khoản máy tính và người dùng có được đặt tại OU cần áp dụng chính sách nhóm không. Nếu một trong hai tài khoản này nằm ngoài phạm vi tác động của chính sách nhóm thì
hiển nhiên sự cố sẽ xảy ra. Như vậy cần chắc chắn rằng tài khoản máy tính hay người dùng được đặt trong phạm vi tác động của chính sách nhóm.