Lập kịch bản và tự động tuỳ chỉnh Group Policy

Đôi khi Group Policy Management Console (GPMC) sẽ không cung cấp đủ khả năng linh hoạt trong việc thực hiện nhiệm vụ lớn. Trong trường hợp thiết lập, thay đổi hay gỡ bỏ những ủy nhiệm đối với một số lượng lớn các GPO, thì GPMC có thể khiến bạn gặp một số khó khăn hay có thể nói là cồng kềnh.
Nội dung trích xuất từ tài liệu:
Lập kịch bản và tự động tuỳ chỉnh Group PolicyLập kịch bản và tự động tuỳ chỉnh Group PolicyNguồn:quantrimang.com Derek MelberĐôi khi Group Policy Management Console (GPMC) sẽ không cung cấp đủkhả năng linh hoạt trong việc thực hiện nhiệm vụ lớn. Trong trường hợpthiết lập, thay đổi hay gỡ bỏ những ủy nhiệm đối với một số lượng lớn cácGPO, thì GPMC có thể khiến bạn gặp một số khó khăn hay có thể nói làcồng kềnh. Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn một cáchkhác hoàn toàn dễ dàng hơn rất nhiều. Giải pháp ở đây là sử dụng việc lập kịchbản GPMC của Microsoft. Các kịch bản này có khá nhiều và cũng đã được cậpnhật, nâng cấp để hỗ trợ cho Windows Vista và Windows Server 2008. Vớichúng, bạn hoàn toàn có thể thay đổi các điều khoản trên một hoặc tất cả cácGPO một cách dễ dàng.Các ủy nhiệm đối với GPOTrước khi bắt đầu việc lập kịch bản và tự động ủy nhiệm cho các GPO, có mộtvấn đề quan trọng cần lưu ý đó là bạn phải biết mình có những tùy chọn (option)nào. Tất cả ủy nhiệm được liệt kê dưới đây có thể được thiết lập bằng sử dụngGPMC, tuy nhiên phương pháp đó có thể gây tốn nhiều thời gian. Với việc quảnlý GPO, bạn có các tùy chọn sau:Tạo các GPOĐây là một nhiệm vụ được ủy nhiệm cho toàn bộ miền, tuy nhiên nó được cấuhình tại nút Group Policy Objects bên trong GPMC, xem trong hình 1. Hình 1: Sự sáng tạo của các GPO là một uỷ nhiệm trung tâm miềnLiên kết GPOKhả năng liên kết GPO đến một nút trong Active Directory là rất mạnh. Khi GPOđược liên kết, các đối tượng dưới nút (miền, site hoặc các đơn vị tổ chức) sẽ bắtđầu một cách hoàn toàn tự động để nhận thiết lập chính sách trong các GPOđược liên kết. Hình 2 minh chứng tùy chọn ủy thác cho các GPO đang liên kếtvới một nút. Hình 2: Các GPO đang liên kết được ủy thác ở mức Site, miền hoặt đơn vị tổ chứcSoạn thảo quản lý các GPOKhả năng soạn thảo GPO là một chức năng tuyệt vời, đặc biệt nếu GPO đó đãđược liên kết với một nút trong Active Directory. Chính vì vậy cần phải kiểm soátnhững ai có thể soạn thảo là một điểm mấu chốt. Có hai mức soạn thảo, mộtmức cho phép xóa và thay đổi độ bảo mật cho GPO. Các ủy thác này được thựchiện ở mức GPO, như thể hiện trong hình 3.Hình 3: Soạn thảo và quản lý (hoàn toàn) các GPO được ủy thác trên một GPO bởi GPO cơ sởSử dụng các kịch bản GPMC để tự động hóa sự ủy thác bảo mật GPOCác kịch bản GPMC cho phép bạn có thể tạo các thay đổi tương tự đối với việcbảo mật GPO mà GPMC GUI thực hiện, tuy nhiên nó cho phép bạn có thể thựchiện các nhiệm vụ lớn hơn với thời gian nhanh hơn. Giả dụ rằng bạn đã cài đặtAdvanced Group Policy Management (AGPM) của Microsoft. Trước khi có thểsử dụng AGPM, bạn phải thay đổi các điều khoản đối với tất cả các GPO bêntrong GPMC để bảo đảm rằng các quản trị viên không thể soạn thảo chúngthông qua GPMC. Nếu đều này không được thực hiện thì GPO trong sản xuất(được giới thiệu trong GPMC) có thể dễ mất đồng bộ với GPO mà bạn importvào trong môi trường AGPM. Để gỡ bỏ và thiết lập lại các điều khoản cho nhiềuGPO nhằm mục đích thiết lập thì đây hoàn toàn là một nhiệm vụ khó khăn. Mặcdù vậy, với kịch bản GrantPermissionOnAllGPOs.wsf, nhiệm vụ này có thể đượcthực hiện một cách nhanh chóng! Các kịch bản của GPMC khác cũng thực hiệncác chức năng tương tự như được mô tả bên dưới.Lưu ý:Để download các kịch bản GPMC, bạn hãy vào địa chỉ sau Group PolicyManagement Console Sample Scripts.GrantPermissionOnAllGPOs.wsfKịch bản này sẽ thừa nhận một điều khoản nào đó cho một người dùng hoặcmột nhóm trong tất cả GPO nằm trong miền. Vấn đề này sẽ xuất hiện đối vớiGPO thậm chí nó không được liên kết với nút Active Directory. Khóa chuyển đổithay thế này rất hữu dụng vì nó có thể gỡ bỏ các điều khoản đang tồn tại và thaythế bằng các điều khoản mới. Nếu một điều khoản được chỉ định cho một nhómbảo mật nào đó đã tồn tại trên danh sách điều khoản cho GPO thì hai điều khoảncao hơn sẽ được thay thế trong nhóm bảo mật (trừ khi khóa chuyển đổi thay thếnày được sử dụng)Cú phápUsage: GrantPermissionOnAllGPOs.wsf GroupName /Permission:value[/Replace] [/Q] [/Domain:value]GroupName: The security principal to grant permissions toPermission: The permission level to set. Can be Read, Apply, Edit, FullEdit orNoneReplace: Specifies that any existing permissions should be replacedQ: Quiet mode - do not display a warning before executing the scriptDomain: DNS name of domainVí dụcscript GrantPermissionOnAllGPOs.wsf GPO Admins /Permission:EditMicrosoft (R) Windows Script Host Version 5.7Copyright (C) Microsoft Corporation. All rights reserved.Warning! By executing this script, all GPOs in the target domain will be updatedwith the desired security setting.Both the Active Directory and Sysvol portions of the GPO will be updated. Thiswill result in the Sysvol conten ...