Hướng dẫn khắc phục sự cố trong Group Policy

Microsoft Active Directory đã trở thành một thành phần không thể thiếu của rất nhiềuhệ thống IT trên thế giới. Một thành phần quan trọng nhất trong Active Directory làGroup Policy, cho phép người quản trị tập trung quản lý các domain controllers, cácmáy chủ, các máy cá nhân.
Nội dung trích xuất từ tài liệu:
Hướng dẫn khắc phục sự cố trong Group PolicyHướng dẫn khắc phục sự cố trong Group PolicyMicrosoft Active Directory đã trở thành một thành phần không thể thiếu của rất nhiềuhệ thống IT trên thế giới. Một thành phần quan trọng nhất trong Active Directory làGroup Policy, cho phép người quản trị tập trung quản lý các domain controllers, cácmáy chủ, các máy cá nhân.Trong khi Group Policy cung cấp rất nhiều tác dụng, nhưng nó có một phần nhỏ hoạtđộng chưa thực sự trơn tru. Nó có thể rất phức tạp từ thiết kế tới triển khai trong mộttổ chức lớn và điều đó sẽ sảy ra rất nhiều rắc rối cần phải giải quyết mà đôi khi vàithứ trở thành những điều không mong muốn. Trong bài viết này, tôi sẽ giới thiệu vớicác bạn cấu trúc của Group Policy và cách bạn giải quyết những sự cố thường gặp.Kết thúc bạn sẽ có tất cả những điều tổng quan để từ đó tạo ra những Group Policyhợp lý cho môi trường của bạn.Trouble some Settings - Giải quyết vài sự cố về thiết lập cấu hìnhCó nhiều vấn đề với Group Policy, đặc biệt nhất là liên quan tới giao điện cách nàoviệc với Active Directory và việc thiết kế và triển khai nó. Khi bạn giải quyết nhữngsự cố nhiều dạng về truy cập và mạng được sự dụng, bạn phải luôn luôn làm việcvới Active Directory và cơ bản về cách triển khai Group Policy trong quá trình nghiêncứu và giải quyết vấn đề đó. Để bắt đầu giải quyết sự cố, trước tiên bạn phải tìmkiếm các thiết lập Group Policy có thiết thiết lập sai, sau đó khi bạn kiểm tra hết phầnnày đến phần khác rồi bạn trở lên phức tạp vấn đề và điều này dẫn tới việc hỏng hóctrong các chính sách trong Group Policy.Các thiết lập Group Policy được xem lại bởi người quản trị Active Directory sử dụngcác Administrative Template Files (ADM hay ADMX file) và Group Policy ObjectEditor, hay GPEdit (với câu lệnh này nó sẽ chạy file gpedit.msc). Sử dụng GPEDit,người quản trị có thể tạo ra các file Group Policy Object hay GPOs. GPOs được cấuhình và áp dụng hoặc không được áp dụng (not apply) cho các máy tính hay các ngườidùng (computers or users) tại các vị trí trong cấu trúc của Active Directory. Sẽ có mộtsố lượng các GPOs được áp dụng theo thứ tự từ trên xuống với mỗi thành phần đượclựa chọn.GPO Must Be Linked.Khi GOP được tạo ra, nó có thể không được liên kết tới các vùng trong ActiveDirectory. Trong trường hợp GPO được chỉnh sửa lại, nó sẽ không áp dụng với các đốitượng cho đến khi được liên kết tới vùng đó. Bạn cần phải chắc chắn răng GPO đượctạo ra và liên kết đúng vào những đối tượng cần áp dụng chính sách quản lý đó. Bạncó thể xem các thông tin đó trong Group Policy Management Console (GPMC) đượchiển thị dưới hình sau đây:Hình 1 GPO Links Are Clearly ShownGPO Must Target Correct Object.Như bạn đã biết, Group Policy phải được liên kết với đúng những đối tượng cần thiếttrong Active Directory. Tuy hiên, đôi khi trong những lần giải quyết sự cố với mộtGOP, có hai vấn đề bạn cần phải quan tâm đó là computer và user. Khi bạn cấu hìnhmột GPO, phải chắc chắn một điều là nó sẽ được áp dụng cho computer hay user. Saukhi bạn kiểm tra đúng các đối tượng cần áp dụng trong một OU thì bạn thực hiện liênkết GPO đó tới OU cần thiết.GPOs Dont Apply to GroupsMột vấn đề mà bạn cần phải biết là, một GPO không thể áp dụng cho một SecurityGroup trong Active Directory. Chỉ có hai đối tượng mà GPO có thể áp dụng làComputers và Users. Bạn không thể cấy hình GPO qua các đối tượng là thành viêntrong nhóm. Ví dụ: Nếu một GPO liên kết tới một OU là Finance, hiển thị với hìnhdưới đây, thì chỉ hai đối tượng sẽ bị ảnh hưởng bởi các thiết lập là Derek và Frank.Các thiết lập sẽ không ảnh hưởng tới các thành viên khác thuộc group Marketing,những người không nằm trong OU này.Hình 2 Finance OU and the Objects Within ItTarget Object Must Be in the Path of the GPO.Khi bạn quan tâm tới sự ảnh hưởng của GPO tới một đối tượng, một vấn đề quantrọng hơn nữa là phải quan tâm tới mức độ ảnh hưởng Scope of Management (SOM)của GPO. Có nghĩa là một đối tượng muốn chịu sự ảnh hưởng của GPO thì nó phảinằm trong OU mà GPO liên kết tới. Trong ví dụ dưới đây khi không có một đối tượngnào trong OU Marketing thì nó sẽ chịu ảnh hưởng bởi một GPO liên kết tới OUFinance, được hiển thị hình dưới. Sự ảnh hưởng của một GPO tính từ vùng nó liên kếttới (node where it linked) tới các OU đứng sau nó trong cấu trúc của Active Directorynhưng các OU bị ảnh hưởng chỉ cùng một Level mà thôi.GPO Needs To Be Enabled.Khi một GPO được tạo ra, nó sẽ không cấu hình cho tới khi bất kỳ sự thay đổi nào tớinhững đối tượng trong nó. Tuy nhiên, nó có thiết lập cho cả Computer và User. Khibạn giải quyết sự cố với những GPO không áp dụng bạn phải xem xem GPO đó có bịDisable vấn đề nào không, và bạn có thể sử dụng Group Policy Object|Account Policytrong GPMC và kiểm trả trạng thái của GPO.Some Settings Need a RebootKhi một GPO được thiết lập mà không hoạt động, nó có thể là do chúng kế thừa từnhững GPOs khác. Và điều đó những thiết lập đ ...