Group Policy
Tìm hiểu các thiết lập được lưu thế nào Trong bài này
chúng tôi sẽ giới thiệu cho các bạn về các thiết lập GPO
được lưu như thế nào, nơi và cách chúng được kiểm tra
bởi các bộ điều khiển miền trong miền Active Directory.
Giới thiệu
Khi một thiết lập GPO được tạo, nó phải được lưu lại để
sau đó được sử dụng cho việc phân phối đến máy tính
mục tiêu. Trong phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các
thiết lập GPO được lưu như thế nào, nơi và cách chúng được kiểm tra bởi các bộ điều
khiển miền trong miền Active Directory.
Bạn đã bao giờ tạo một GPO mới, sau đó thiết lập một số cấu hình cho một hoặc hai
chính sách và phân vân tự hỏi liệu các thiết lập này sẽ được lưu ở đâu và lưu như thế nào
bao giờ chưa? Bài viết này sẽ giới thiệu cách các thiết lập trong GPO này được lưu như
thế nào, cũng như nơi chúng được lưu ở đâu. Thông tin này là hết sức cần thiết cho các
quản trị viên hệ thống và quản trị viên Group Policy trong việc khắc phục sự cố và nắm
bắt một cách toàn diện về Group Policy hoạt động như thế nào. Trong những lần thực
hiện công việc thủ công trên GPO, khi các thiết lập được lưu trong các file khi GPO bị
lỗi, lúc đó bạn sẽ không thể xem các thiết lập này trong bộ soạn thảo.
Nơi các thiết lập GPO được lưu
Khi một GPO được tạo, sẽ có rất nhiều sự kiện sẽ xuất hiện trong background. Đầu tiên,
khi bạn tạo một GPO mới, domain controller - để điều khiển PDC Emulator role – là một
thành phần phụ trách. Đây là một hành vi mặc định và có thể được thay đổi, tuy nhiên
ban đầu PDC Emulator sẽ phụ trách.
Những gì được cập nhật trong domain controller này là một “shell” cho các nội dung về
những gì bạn đã cấu hình bên trong GPO trong quá trình soạn thảo. “Shell” cho GPO là
một thư mục, thư mục này được chứa bên trong thư mục Policies. Để truy cập vào thư
mục Policies, bạn cần tìm thư mục Sysvol trong domain controller. Mặc định thư mục
này sẽ được định vị tại c:\Windows\Sysvol\sysvol\<domainname>\Policies. Bên dưới thư
mục Policies là danh sách các thư mục được thể hiện bằng một giá trị dài vừa chữ và số
(

Computer Configuration|Policies, còn lại là User Configuration|Policies. Mỗi một thiết
lập chính sách nằm trong các nút này bên trong bộ soạn thảo GPO đều hiện diện và cho
phép sửa đổi Registry. Tất cả các thiết lập này được lưu trong một file có tên
Registry.pol, bên trong thư mục Machine hoặc User, bạn có thể thấy qua hình 4.

Hình 4: Tất cả các thiết lập mẫu quản trị được lưu trong file Registry.pol
Cấu trúc của file này khá đơn giản. Đường dẫn, giá trị của Registry cần được thay đổi, dữ
liệu cho giá trị được liệt kê trong file, bạn có thể thấy điều đó qua hình 5.

Hình 5: Đường dẫn, giá trị và dữ liệu của Registry được mô tả chi tiết trong file
Registry.pol
Các thiết lập bảo mật
Bạn sẽ thấy một danh sách dài các thiết lập bảo mật trong nút Computer
Configuration|Policies|Windows Settings|Security Settings|Local Policies|Security
Options. Các thiết lập này là những cải biến biến số của hệ điều hành hoặc các cải biến
Registry. Tất cả các thiết lập nằm trong nút này sẽ được lưu trong một file mang tên
gpttmpl.inf và file này lại được lưu bên trong thư mục Machine\Microsoft\Windows
NT\SecEdit.
Cho ví dụ, nếu bạn thay đổi tên của tài khoản quản trị (Administrator), khi đó sẽ xuất
hiện một entry trong file gpttmpl.inf bên trong phần System Access, xem thể hiện trong
hình 6.

Hình 6: Một số thiết lập bảo mật thay các đổi biến hệ điều hành
Một ví dụ khác là khi bạn thay đổi các thiết lập UAC, một entry sẽ được tạo trong file
gpttmpl.inf, trong Registry Values, xem thể hiện trong hình 7.

Hình 7: Một số thiết lập bảo mật thay đổi giá trị Registry
Các thiết lập ưa thích
Mới nhất trong tất cả các thiết lập Group Policy chính là Group Policy Preferences. Các
thiết lập này có thể xuất hiện khi bạn chỉnh sửa GPO trên Windows Server 2008 hoặc