Điều khiển các thiết lập bảo mật của Group
Policy
Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ
một lần. Bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết
về quá trình làm việc và những gì có thể thay đổi trong GPO.

Rõ ràng Group Policy trong Active Directory là cách thức logic
và hiệu quả nhất để cấu hình và duy trì độ bảo mật cho tất cả domain controller, máy chủ
và desktop của bạn. Tuy nhiên cách duy trì và điều khiển các thiết lập bảo mật của ứng
dụng cũng như cách refresh các thiết lập trong GPO lại là một vấn đề. Thực sự có nhiều
cách để điều khiển các thiết lập bảo mật trong refresh và điều khiển. Trong bài viết này,
chúng tôi sẽ giới thiệu cho các bạn một trong các phương pháp để thực hiện nhiệm vụ
này.
Thiết lập nào là thiết lập bảo mật?
Trước khi giới thiệu , mọi người nên biết chính xác những gì nằm trong “security
settings” của GPO. Nếu bạn mở một GPO trong Windows Server 2008, bạn cần mở nút
Computer Configuration|Policies|Windows Settings|Security Settings để xem tất cả các
thiết lập có liên quan đến bảo mật mà chúng tôi sẽ đề cập đến trong bài này (có một số
thiết lập nằm trong User Configuration|Policies|Windows Settings|Security Settings,
chúng không thường xuyên được sử dụng nhưng cũng không liên quan đến trong bài
này), xem trong hình 1.

Hình 1: Các thiết lập bảo mật trong GPO chuẩn
Lý do tất cả các thiết lập nằm trong chủng loại này là vì tất cả chúng đều được điều khiển
bởi Security Client Side Extension (CSE). Chúng ta sẽ thấy Security CSE có thể được
điều khiển riêng biệt từ các CSE khác và hành động hơi khác đôi chút so với các thành
phần khác.
Thực hiện Refresh thủ công
Group Policy có một quá trình refresh tự động, tuy nhiên trong một số trường hợp,
khoảng thời gian này không đủ nhanh cho các thiết lập bạn muốn triển khai. Trong
trường hợp như vậy, quá trình refresh có thể được kích hoạt bằng một lệnh đơn giản, rất

Computer
Configuration|Policies|Administrative Templates|System|Group Policy. Ở đây bạn sẽ tìm
thấy một chính sách có tên Security policy processing, xem thể hiện trong hình 3.

Hình 3: Các thiết lập bảo mật có thể được áp đặt sử dụng mỗi lần
Bằng cách kiểm tra Process cho dù các đối tượng Group Policy không bị thay đổi thì bạn
sẽ chỉ kích hoạt các thiết lập bảo mật để sử dụng mỗi lần, không phải mỗi CSE.
Các thiết lập bảo mật “duy nhất”
Với trên 30 CSE, GPO sẽ liên tục thực hiện công việc trên mạng của bạn. Mặc dù vậy, có
một CSE duy nhất đó là CSE thiết lập bảo mật. CSE này thực hiện như các CSE khác
ngoại trừ chu kỳ 16 giờ, chúng cũng áp dụng tất cả trong các GPO mà không quan tâm
đến sự thay đổi xuất hiện đối với GPO. Có điều làm cho nó khác với các CSE khác đó là
khi không có các thiết lập nào thay đổi trong GPO thì các thiết lập GPO sẽ không sử
dụng lại.
Đây là một tính năng tuyệt vời và cũng là tính năng có thể được thay đổi. Không giống
như các thiết lập khác mà chúng tôi đã giới thiệu cho các bạn trong bài này, thiết lập này
không phải là thiết lập GPO mà nó chính là thiết lập registry. Nếu muốn tự điều chỉnh
thiết lập này thì bạn có thể thực hiện bằng cách thay đổi
MaxNoGPOListChangesInterval
nằm trong registry:
HKLM \ Software | Microsoft | Windows NT | CurrentVersion | Winlogon \
GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A}
(Lưu ý: Chuỗi các ký tự dài này là GUID cho Security CSE). Bạn có thể xem đường dẫn
này và thiết lập khoảng thời gian khóa trong hình 4.

Hình 4: Các thiết lập Security CSE Registry gồm có giá trị
MaxNoGPOListChangesInterval
Lưu ý:
Giá trị của Registry MaxNoGPOListChangesInterval là một giá trị DWORD và có đơn vị
phút. Nếu bạn muốn 16 giờ thì sẽ là 960 phút trong Registry.