Trong bài này chúng tôi sẽ giới thiệu cho
các bạn về các thiết lập GPO được lưu như thế nào, nơi và cách chúng
được kiểm tra bởi các bộ điều khiển miền trong miền Active Directory.
Giới thiệu
Khi một thiết lập GPO được tạo, nó phải được lưu lại
để sau đó được sử dụng cho việc phân phối đến máy tính mục tiêu. Trong
phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các
thiết lập GPO được lưu như thế nào, nơi và cách chúng được kiểm tra bởi
các bộ điều khiển miền trong miền Active Directory.
Bạn đã bao giờ tạo một GPO mới, sau đó thiết lập một
số cấu hình cho một hoặc hai chính sách và phân vân tự hỏi liệu các
thiết lập này sẽ được lưu ở đâu và lưu như thế nào bao giờ chưa? Bài
viết này sẽ giới thiệu cách các thiết lập trong GPO này được lưu như
thế nào, cũng như nơi chúng được lưu ở đâu. Thông tin này là hết sức
cần thiết cho các quản trị viên hệ thống và quản trị viên Group Policy
trong việc khắc phục sự cố và nắm bắt một cách toàn diện về Group
Policy hoạt động như thế nào. Trong những lần thực hiện công việc thủ
công trên GPO, khi các thiết lập được lưu trong các file khi GPO bị
lỗi, lúc đó bạn sẽ không thể xem các thiết lập này trong bộ soạn thảo.
Nơi các thiết lập GPO được lưu
Khi một GPO được tạo, sẽ có rất nhiều sự kiện sẽ
xuất hiện trong background. Đầu tiên, khi bạn tạo một GPO mới, domain
controller - để điều khiển PDC Emulator role – là một thành phần phụ
trách. Đây là một hành vi mặc định và có thể được thay đổi, tuy nhiên
ban đầu PDC Emulator sẽ phụ trách.
Những gì được cập nhật trong domain controller này
là một “shell” cho các nội dung về những gì bạn đã cấu hình bên trong
GPO trong quá trình soạn thảo. “Shell” cho GPO là một thư mục, thư mục
này được chứa bên trong thư mục Policies. Để truy cập vào thư mục
Policies, bạn cần tìm thư mục Sysvol trong domain controller. Mặc định
thư mục này sẽ được định vị tại c:\Windows\Sysvol\sysvol\<domainname>\Policies. Bên dưới thư mục Policies là danh sách các thư mục được thể hiện bằng một giá trị dài vừa chữ và số (alpha-numeric). Giá trị alpha-numeric
là GUID (Global Unique Identifier) cho GPO. Hình 1 thể hiện cho bạn một
thư mục Policies, ở đây bạn có thể thấy nhiều GUID được liệt kê. Danh
sách các GUID hiện diện tất cả các GPO mà bạn có cho miền của mình.
Hình 1: Các GUID được thể hiện dưới dạng các thư mục trong thư mục Policies trên các bộ điều khiển miền
Vị trí này bên trong Sysvol của domain controller
được xem như là Group Policy Template (GPT). GPT được định vị trên mỗi
một domain controller. Khi PDC Emulator tạo GPT cho GPO, quá trình tạo
bản sao sẽ lấy các file và nhân bản chúng trên các bộ điều khiển miền
khác bên trong miền. File Replication Service (FRS) quản lý quá trình
tái tạo này đối với tất cả các bộ điều khiển miền.
Lưu ý: FRS có thể được điều khiển bởi DFS-R bằng việc triển khai phiên bản Windows mà bạn đang chạy.
Các thiết lập GPO được lưu thế nào
Lúc này chúng ta đã có “shell” cho GPO. Bạn có thể
cấu hình GPO bằng cách sử dụng Group Policy Editor. Khi chỉnh sửa một
GPO, bạn sẽ thấy hai phần “mức top” của GPO: Computer Configuration và User Configuration, xem thể hiện trong hình 2.
Hình 2: Mỗi một GPO có hai phần chính: Computer Configuration và User Configuration
Nếu quan sát vào cấu trúc thư mục của GPT cho GPO, bạn sẽ thấy hai thư mục chính: Machine và User, xem thể hiện trong hình 3.
Hình 3: GPT cho GPO lưu các thiết lập trong thư mục Machine hoặc User
Các thiết lập được cấu hình trong Computer
Configuration được lưu trong thư mục Machine và các thiết lập User
Configuration được lưu trong thư mục User.
Từ lúc này, mỗi một thiết lập sẽ có đôi chút khác
biệt khi được lưu vào bên trong các thư mục Machine và User. Thể hiện ở
sự khác nhau là này cấu trúc của file, kiểu file và các phần mở rộng.
Các thiết lập mẫu quản trị
Có hai vùng có thể cấu hình các thiết lập này bên
trong GPO. Một trong số đó là Computer Configuration|Policies, còn lại
là User Configuration|Policies. Mỗi một thiết lập chính sách nằm trong
các nút này bên trong bộ soạn thảo GPO đều hiện diện và cho phép sửa
đổi Registry. Tất cả các thiết lập này được lưu trong một file có tên
Registry.pol, bên trong thư mục Machine hoặc User, bạn có thể thấy qua
hình 4.
Hình 4: Tất cả các thiết lập mẫu quản trị được lưu trong file Registry.pol
Cấu trúc của file này khá đơn giản. Đường dẫn, giá
trị của Registry cần được thay đổi, dữ liệu cho giá trị được liệt kê
trong file, bạn có thể thấy điều đó qua hình 5.
Hình 5: Đường dẫn, giá trị và dữ liệu của Registry được mô tả chi tiết trong file Registry.pol
Các thiết lập bảo mật
Bạn sẽ thấy một danh sách dài các thiết lập bảo mật
trong nút Computer Configuration|Policies|Windows Settings|Security
Settings|Local Policies|Security Options. Các thiết lập này là những
cải biến biến số của hệ điều hành hoặc các cải biến Registry. Tất cả
các thiết lập nằm trong nút này sẽ được lưu trong một file mang tên
gpttmpl.inf và file này lại được lưu bên trong thư mục
Machine\Microsoft\Windows NT\SecEdit.
Cho ví dụ, nếu bạn thay đổi tên của tài khoản quản
trị (Administrator), khi đó sẽ xuất hiện một entry trong file
gpttmpl.inf bên trong phần System Access, xem thể hiện trong hình 6.
Hình 6: Một số thiết lập bảo mật thay các đổi biến hệ điều hành
Một ví dụ khác là khi bạn thay đổi các thiết lập
UAC, một entry sẽ được tạo trong file gpttmpl.inf, trong Registry
Values, xem thể hiện trong hình 7.
Hình 7: Một số thiết lập bảo mật thay đổi giá trị Registry
Các thiết lập ưa thích
Mới nhất trong tất cả các thiết lập Group Policy
chính là Group Policy Preferences. Các thiết lập này có thể xuất hiện
khi bạn chỉnh sửa GPO trên Windows Server 2008 hoặc Windows Vista SP1
(khi cài đặt RSAT).
Các thiết lập này làm việc gần giống với các thiết
lập khác, tuy nhiên chúng sẽ được lưu dưới dạng các file XML. Cho ví
dụ, nếu bạn thiết lập một GPP Shortcut trong User Configuration, file
XML cho shortcut sẽ được lưu trong thư mục User\Preferences\Shortcuts
và file của nó tên là shortcuts.xml.
Cấu trúc của file không đơn giản như các cấu trúc
file khác, tuy nhiên bạn vẫn có thể thấy được những tổng thể về file và
nội dung của nó.
Kết luận
Lúc này bạn có thể thấy nơi các thiết lập được lưu
khi bạn tạo và cấu hình một thiết lập Group Policy, bạn có thể thực
hiện thêm một số nghiên cứu tỉ mỉ về các thiết lập khác nếu muốn. Một
điển chung ở đây là khi một thiết lập được hình thành, sẽ có một file
được tạo để lưu các thiết lập và các chi tiết của cấu hình. Có hai mức
cấu hình chính đó là user và computer. Hai mức cấu hình này chỉ thị nơi
thiết lập sẽ được lưu dựa trên phần nào GPO nào được cấu hình. Với các
thông tin này, bạn có thể khắc phục, nghiên cứu sâu và giải quyết các
vấn đề về lưu trữ GPO
(Theo Windowsnetworking)
|