- Folder Redirectio n: Cho phép gửi lại (redirect) các thư mục đặc biệt như
3.2. Những thành phần và chức năng chung của GPMC
GPMC có thể nói là tổng hợp cả hai công cụ quản lý Domain Policy và Domain Controller Policy và dù là quản lý trên toàn miền, trên 1 OU nào đó hay chỉ riêng máy chủ quản trị miền thì đều xuất hiện 4 thẻ sau :
- Scope: Cung cấp cho ta một cái nhìn lướt qua về thời gian và địa điểm mà đối tượng chính sách nhóm được thi hành.
- Details: Chứa các thông tin chi tiết về miền, người tạo ra (sở hữu) GPO, thời gian GPO được tạo ra, thời gian lần cuối cùng GPO được sửa đổi, trạng thái của GPO…
- Settings : Cho ta thấy 1 cách tổng quát những gì được thiết lập bên trong 1 GPO
Trong hình trên ta thấy có 1 số chính sách đã được thiết lập chẳng hạn như
Disabled với Password must meet, Disabled với Store passwords using.
Nếu muốn chỉnh sửa một thiết lập nào đó ta chỉ cần kich chuột phải vào vùng thiết lập và chọn Edit, Group Policy Object Editor sẽ xuất hiện.
Nếu cần lưu lại bản báo cáo các thiết lập này chỉ cần lích chuột phải vào vùng thiết lập và chọn Save Report. Một bản báo cáo HTML sẽ được tạo ra và bạn có thể gửi mail cho cấp trên.
thao tác với GPO hay các liên kết.
3.2.1. Tăng giảm độ ưu tiên khi có nhiều GPO
Khi trong một site, một miền hay một OU có nhiều GPO được xếp theo thứ tự từ trên xuống dưới, VD:
- GPO1 Enforce 50MB Disk Quotas. - GPO2: Enforce 40MB Disk Quotas. GPO nào sẽ được áp dụng?
Các máy trạm khi nhận được nhiều GPO từ phía máy chủ sẽ xử lý các GPO này theo thứ tự từ dưới lên trên. Do đó GPO2 sẽ được xử lý trước, sau đó mới đến GPO1, do đó GPO1 sẽ được áp dụng cho toàn miền hay toàn OU.
Như vậy khi có nhiều GPO cùng mức nếu muốn GPO nào sẽ được triển khai trong miền, trong site hay trong OU ta chỉ cần thay đổi lại vị trí thứ tự các GPO.
3.2.2. Dừng một GPO đang được thi hành
Khi một GPO đang được thi hành, nếu vì một lý do nào đó mà phải ngừng thi hành, chẳng hạn do người dùng phàn nàn rằng vì chính sách này mà một số thứ đã chạy không đúng. Khi đó ta sẽ có một số giải pháp để ngừng ngay GPO:
3.2.2.1. Vô hiệu hoá “Link Enabled”
Nhấn chuột phải vào GPO cần ngừng lại, bỏ dấu tick ở trạng thái Link Enabled.
Trong hình trên ta đã bỏ lựa chọn Link Enabled ở “chính sách bảo mật”. Hành
động này sẽ loại bỏ liên kết giữa OU Security và GPO chính sách bảo mật.
3.2.2.2. Vô hiệu hóa một nửa hoặc cả hai nửa của GPO
Đây chính là cách thứ 2 để dừng thi hành 1 GPO, ta biết 1 GPO có 2 nửa là
Computer Configuration và User Configuration. Ta có thể lựa chọn giữa việc vô
hiệu hoá 1 trong 2 nửa hoặc cả 2.
Việc vô hiệu hoá 1 nửa hoặc cả GPO trong thực tế sẽ làm cho thời gian khởi độngvà đăng nhập nhanh hơn 1 ít, sở dĩ có việc này là do mỗi khi ta thêm một GPO vào hệ thống sẽ mất thêm một khoảng thời gian khi khởi động và đăng nhập để xử lý các chính sách. Microsoft đã gọi điều này là thay đổi chính sách nhóm để tăng hiệu năng.
Để thực hiện điều này, từ cửa sổ GPMC, ta nhấn chuột vào GPO muốn điều chỉnh rồi chọn thẻ Details.
Hình trên cho chúng ta thấy các lựa chọn để vô hiệu hoá 1 nửa hay toàn bộ GPO. Việc vô hiệu hoá 1 GPO có lợi là nó cho phép ta kích hoạt trở lại hết sức nhanh chóng.
3.2.2.3. Xóa và tháo liên kết GPO
- Tháo liên kết GPO hay còn gọi là xoá liên kết GPO: để làm được điều này ta kích chuột phải vào liên kết GPO (1 liên kết GPO bao giờ cũng có dấu mũi tên góc dưới cùng bên trái). Sau đó chọn Delete:
- Việc tháo liên kết này sẽ chỉ huỷ bỏ mối liên kết giữa GPO và OU mà thôi chứ không xóa hẳn GPO vì GPO được lưu giữ trong Group Policy Objects Container:
- Xóa liên kết GPO: Để xoá một GPO ta kích chuột phải vào một GPO nào đó bên trong Group Policy Objects Container, chọn Delete:
Việc xoá một GPO đồng nghĩa với việc xoá hết các liên kết của GPO đó với các OU. Việc xoá một GPO ảnh hưởng rất lớn đến hệ thống do đó phải hết sức cẩn thận và nên sao lưu lại đề phòng xoá nhầm.
3.2.3. Ngăn chặn kế thừa
Như đã nói từ trước, khi các OU được lồng vào nhau thì OU con sẽ chịu tác động của tất cả các GPO liên kết đến OU cha, ngược lại thì không. Đó được gọi là sự kế thừa GPO. VD như OU là Human Resource và Domain, OU Human Resource sẽ chịu tác động của các GPO từ Default Domain Policy. Sự kế thừa này là mặc định tuy nhiên có những trường hợp mà ta không hề mong muốn OU con chịu sự kế thừa mà hoàn toàn độc lập với các chính sách riêng. Để làm được như vậy ta kích chuột phải vào OU con và chọn Block Inheritance :
Nhìn vào hình trên ta thấy OU Human Resource đã bị Block Inheritance và sẽ có hình dấu chấm than ở góc dưới cùng bên trái.
3.2.4. Chức năng Enforced
Bảo đảm rằng các thiết lập chính sách ở mức cao hơn sẽ luôn được kế thừa bởi mức thấp hơn, bất kể mức tấp hơn đã được thiết lập để chặn kế thừa bởi quản trị viên ở mức thấp hơn. Để làm được điều này, ta chọn một GPO ở OU cha nào đó, kích chuột phải và chọn Enforced từ menu ngữ cảnh hiện ra
Sau khi Enforce sẽ xuất hiện biểu tượng khoá ở góc dưới bên trái của GPO. Nhìn vào hình trên ta thấy “Chinh sach nhan su” đã được kích hoạt tính năng Enforced và mặc dù OU Human Resource đã được Block Inheritance nhưng OU Security vẫn chịu tác động của “Chinh sach nhan su”.