- Folder Redirectio n: Cho phép gửi lại (redirect) các thư mục đặc biệt như
2.2.Vòng đời của GPO.
Vòng đời của GPO cũng có ba giai đoạn như con người, đó là sinh ra, tồn tại và chết. Chúng ta sẽ đi nghiên cứu từng giai đoạn một.
2.2.1. GPO được sinh ra như thế nào?
Trước khi có thể tạo ra một GPO chúng ta phải có quyền làm việc đó. Có hai cách, thứ nhất ta phải là thành viên của nhóm Group Policy Creator Owners và thứ hai là được cấp phép tạo GPO thông qua GPMC. Khi đã có quyền tạo GPOm chúng ta có thể tạo bằng bảng điều khiển MMC hoặc nhấn chuột phải vào mục Group Policy Objects trong GPMC và chọn New. Sau khi tạo xong, một GPO đã chính thức được “sinh ra”. Đồng thời với GPO, có 4 thứ khác cũng được tạo ra:
- Group Policy Container (GPC): Trong thư mục “Policies” của cơ sở dữ kiệu AD. - Group Policy Template (GPT): Trong thư mục SYSVOL, đây là nơi chứa các file thực tế của GPO và nó được đồng bộ đến tất cả các máy chủ quản trị miền.
- Liên kết: Khi GPO được tạo ra nó sẽ tự động liên kết với mức mà bạn đang sử dụng (site, miền, OU).
- GUID (GPO Unique Identifier): Một định danh duy nhất được gán với mỗi GPO. Như vậy mỗi GPO được tạo ra sẽ bao gồm hai phần là GPC và GPT, hai thành phần này được chia ra ở hai nơi trong máy chủ quản trị miền.
2.2.2. GPO tồn tại như thế nào?
Ở phần trên chúng ta đã biết rằng GPO có hai thành phần là GPC và GPT, để nghiên cứu về sự tồn tại của GPO chúng ta sẽ phải đi chi tiết về hai thành phần này.
2.2.2.1. Group Policy Container
Nằm trong AD, nó giữ rất nhiều thuộc tính của Group Policy như phiên bản, thông tin trạng thái, các thiết lập chính sách. Mỗi GPC có một tên được định dạng duy nhất đó là GUID. Chúng ta có thể xem chi tiết về GPC của một GPO trong bảng điều khiển “Active Directory Users and Computers” như sau: Từ bảng điều khiển vào View, chọn Advanced Features, thư mục chứa tất cả các GPO sẽ hiện ra chi tiết:
Ta thấy ngoài các thư mục như mặc định ban đầu ra, có thêm bốn thư mục nữa là LostAndFound, NTDS Quotas, Program Data, System. Nếu mở rông thư mục
System ra ta sẽ thấy thư mục này chứa tất cả các GPC trong AD. Nhìn vào hình trên ta thấy trong thư mục Policies có tất cả 6 GPC, như vậy trong AD hiện thời có 6 GPO.
Mỗi GPC có một số thuộc tính sau:
- Common Name (CN): Là một dãy các ký tự dùng để gán tên cho một đối tượng.
Tên của GPC sử dụng định dạng GUID để bảo đảm tính duy nhất trong toàn rừng. VD: CN = 13BB1952-B3FE-444B-8D66-3E784C35B9D0
- Distinguished Name (DN): Đây là phần mở rộng từ Common Name, chứa
đường dẫn đến đối tượng chính trong cây thư mục LDAP.
VD: CN = 13BB1952-B3FE-444B-8D66-3E784C35B9D0, CN = policies, CN = system, DC = sparrow, DC = com
- Display name : Tên của GPO do chúng ta đặt ra, chẳng hạn “Chinh sach bao mat”
- Version: Tác dụng như một bộ đếm theo dõi các bản cập nhật của GPC.
- GUID: Được AD sử dụng như một sự tham chiếu khi thực hiện di chuyển
bảng, xây dựng chỉ mục, các công việc liên quan đến cơ sở dữ liệu.
2.2.2.2. Group Policy Template
Như đã nói, GPC được lưu trữ trong cơ sở dữ liệu AD và được đồng bộ hoá đến tất cả các máy chủ quản trị miền. Trong khi đó, GPT được lưu trữ trong thư mục SYSVOL tại máy chủ quản trị miền. Cũng như GPC, GPT cũng được đồng bộ hoá đến tất cả máy chủ quản trị miền thông qua dịch vụ đồng bộ file (File Replication Service - FRS).
Chúng ta sẽ xem xét thử các thành phần của một GPT chứa trong thư mục SYSVOL:
C:\WINDOWS\SYSVOL\sysvol\sparrow.com\Policies\{13BB1952-B3FE-444B-8D66- 3E784C35B9D0}
Trong mỗi thư mục GPT đều có ba thư mục con là: Adm, MACHINE, USER. - Adm: Chứa 5 file có phần mở rộng .adm là : conf, inetres, system, wmplayer,
wuau. Tất cả các thiết lập chính sách Administrative Templates đều được tạo ra từ năm
file này. Khi một chính sách được tạo ra hoặc chỉnh sửa, GPOE sẽ copy các file .adm này từ thư mục Windows\inf
- MACHINE: Chứa các thiết lập cho nhánh máy tính trong GPO, bao gồm startup and shutdown scripts, pointers to application, các thiết lập Registry. Trong thực tế nội dung của thư mục này phụ thuộc vào các tuỳ chọn thực tế trong GPO.
- USER: Chứa các thiết lập cho nhánh người dùng trong GPO, bao gồm logon and logoff scripts, pointers to application, các thiết lập Registry. Nội dung thực tế của thư mục này cũng phụ thuộc vào các tuỳ chọn trong GPO. (adsbygoogle = window.adsbygoogle || []).push({});
2.2.3. Sự kết thúc vòng đời của GPO
Một GPO “chết” tức là nó bị dừng thi hành hoàn toàn. Ở chương trước ta biết rằng có hai cách để dừng thi hành một GPO đó là tháo gỡ liên kết của GPO đối với một site, một miền hay một OU nào đó. Cách thứ hai là xoá hẳn GPO đó. Tuy nhiên như đã nói, chúng ta không nên dùng cách thứ hai vì nếu trong trường hợp cần dùng lại ta chỉ cần khôi phục liên kết là đủ.