Group Policy là gì
GP là một cơ sở hạ tầng được sử dụng để cung cấp và áp dụng
một hay nhiều các cấu hình hay các chính sách cụ thể cho một nhóm người dùng và
máy tính trong môi trường Active Directory. Cơ sở hạ tầng này bao gồm một bộ
máy GP (hay còn gọi là Core GP) và các extension phía người dùng (client-side
extensions – CSEs) để thực hiện các chính sách đó.
GPO gồm hai phần, Group Policy Container (GPC) thuộc AD và
Group Policy Template (GPT) chứa nội dung bên trong GPO. Một thành phần thứ ba
là Client-side Extension có thể tìm thấy trên các thiết bị client được dùng để
xử lý chính xác các GP được áp dụng trên máy client.
Cấu trúc của GPO nhìn dưới công cụ GPMC: Trạng thái (Enforced?
Link Enabled?) Container mà nó được link đến, Security Filtering, WMI Filtering
GPC:
Để tìm thông tin này có vài cách. Cách thông dụng là sử dụng
Active Directory Users và Computers.
Cách thứ hai là sử dụng công cụ LDP.EXE
- displayName: tên của GPO
- gPCFileSysPath: chỉ ra cho các client vị trí để lấy nội dung của GPO
- gPCMachineExtensionNames: danh sách các Client-side Extensions (CSEs) mà client cần để xử lý tất các các thiết lập cho máy được cấu hình cho GPO
- gPCUserExtensionNames: danh sách các CSEs cần để xử lý các thiết lập phía người dùng.
GPT:
GPT là nội dung của GPO, nó nằm trong một chia sẻ có tên gọi
là SYSVOL.
Chú ý: Cross-domain GPOs: một GPO được định nghĩa trong một
domain khác với domain mà nó liên kết đến, hay nói một cách khác GPO thuộc
domain thứ nhất sẽ được áp dụng cho client nằm ở domain thứ hai khác. Trong trường
hợp này client cần phải lấy được dữ liệu về từ một Domain Controller của domain
thứ nhất, điều này làm cho quá trình thực hiễn diễn ra rất chậm. Vì lý do này
nên cross-domain GPOs không được khuyến khích.
Hình dưới biểu chỉ ra GPO: GPT.INI
Hình dưới đây là file GPT.INF
Tùy thuộc việc cấu hình các GPO mà có thể xuất hiện các file
và thư mục:
- Scripts Folder: chứa các thông tin script nào sẽ được run, các loại script có thể có
- Startup/Shutdown: áp dụng với Computers
- Logon/Logoff: áp dụng với Users
- Applications folder: khi các software được publish thông qua GPO, thư mục này sẽ chứa các file quảng cáo (file .aas) để thông báo vs clients
- Adm folder: ở các phiên bản GPO cũ có Administrative Template chứa bên trong GPT ở mỗi DC. Các template này được copy từ các máy client vào SYSVOL của DC. Từ Vista đã bỏ thư mục này. Các GPOs sử dụng các file ADMX được lưu ở Central Store trên các máy client (C:\windows\policydefinitions) thay cho GPT.
- ...
Các GPO hoạt động như thế nào
Get GPO (Lấy về
các GPO):
Có 2 loại GPO: GPO cấu hình trên máy local thì luôn được xử
lý và GPO liên kết trong kiến trúc AD.
GPO trong AD được liên kết với các mức:
- Site
- Domain
- OU
Thuộc tính gPLink xuất hiện ở những container mà GPO liên kết
để cho biết là có một GPO ở đấy cần được xử lý.
Thứ tự ưu tiên xử lý của GPOs:
Các GPO sau cùng được ghi đè lên các GPO được á dụng trước
đó trước đó, và GPO gần với vị trí client nhất trong cấu trúc thư mục sẽ được
áp dụng sau cùng. Như vậy thứ tự lần lượt như sau:
- Local
- Site
- Domain
- OU
Lọc GPO
Bạn phải chỉ rõ những người dùng, nhóm người dùng và máy
tính nào được cho phép áp dụng GPO.
Như vậy tổng kết ở bước Get GPO:
Đối với local GPO: có sẵn ở máy (không phải get)
Đối với AD GPO: thực hiện query AD để lấy GPO về máy.
Xử lý GPO
Khi client có danh sách GPO, nó sẽ tìm kiểm trong các GPC vị
trí để tìm được các GPT trong thư mục SYSVOL.
GPO versions
Client check giá trị này mà lớn hơn thì GPO sẽ được xử lý.
SYSVOL version và AD version (GPT và GPC version)
Foreground and Background Processing
Có hai loại tiến trình:
Foreground: xảy ra khi máy tính startup/shutdown và người
dùng login/logoff. Tất cả các policies sẽ
được xử lý vào thời gian đó.
Background: xảy ra sau một khoảng thời gian cố định ở chế độ
ngầm khi người dùng đã đăng nhập và kết nối đến AD. Khoảng thời gian này là 90
phút + lượng thời gian offset, offset có giá trị tối đa là 30 phút, có nghĩa là
khoảng thời gian dao động từ 90 đến 120 phút đối với máy client và là 5 phút đối
với Domain Controllers.
Để thực hiện các GPO ở phía client sẽ sử dụng các
Client-side Extension. Bản chất của các Client-side Extension này thường là các
thư viện dll. Tương ứng với các GPO sẽ có các Extension tương ứng xử lý.
Cơ chế áp dụng các Group Policy (Ref: http://msdn.microsoft.com/en-us/library/windows/desktop/aa374304(v=vs.85).aspx)
Đối với Windows 2000
Các tiến trình foreground cho GP là đồng bộ. Nghĩa là, sẽ áp
dụng các policy cho máy trước khi hiện ra màn hình thông báo đăng nhập cho người
dùng, và sau đó, các policy cho người dùng mới được áp dụng.
Nhược điểm của cơ chế đồng bộ là: thời gian chờ đăng nhập của
người dùng lâu.
Chú ý là thời gian để tất cả các tiến trình áp dụng GP hoàn
thành là trong khoảng 60 phút.
Đối với Windows XP trở về sau
Các tiến trình foreground có thể là đồng bộ hoặc bất đồng bộ.
Ở chế độ đồng bộ thì tương tự như trên, quá trình khởi động máy tính kết thúc
khi đã áp dụng hết các GP cho máy tính, và quá trình đăng nhập của người dùng kết
thúc khi áp dụng hết các GP cho người dùng. Ở chế độ bất đồng bộ, nếu như không
có policy nào thay đổi, thì người dùng có thể đăng nhập máy tính trong khi việc
áp dụng các GP cho máy vẫn chưa hoàn thành.
Không có nhận xét nào:
Đăng nhận xét