Chính sách nhóm: Group Policy Object (GPO)

Bây giờ chúng ta đã kết nối tất cả các máy tính vào miền, chúng ta sẽ làm gì với chúng? Trong bài học này, chúng ta sẽ tìm hiểu cách sử dụng Active Directory Group Policy để cấu hình máy tính và chính bản thân miền.

Như đã đề cập trước đây, dịch vụ thư mục là cơ sở dữ liệu được sử dụng để lưu trữ thông tin về các đối tượng. Các đối tượng này đại diện cho những thứ trong mạng mà bạn muốn tham chiếu hoặc quản lý. Một trong các loại đối tượng trong AD là Group Policy Object hay GPO.

Vậy GPO là gì? Nó là một tập hợp các chính sách và tùy chọn có thể được áp dụng cho một nhóm đối tượng trong thư mục. GPO chứa các thiết lập cho máy tính và tài khoản người dùng. Ví dụ, bạn có thể muốn các tùy chọn phần mềm khác nhau cho đội ngũ tiếp thị, đội ngũ pháp lý và đội ngũ kỹ thuật. Sử dụng Group Policy sẽ giúp chuẩn hóa tùy chọn người dùng cho mỗi nhóm này và giúp bạn dễ dàng quản lý và cấu hình hơn.

Sử dụng Group Policy, bạn có thể tạo các tập lệnh đăng nhập và đăng xuất và áp dụng chúng cho người dùng và máy tính. Bạn có thể cấu hình nhật ký sự kiện, cho máy tính biết sự kiện nào cần được ghi lại và nhật ký sẽ được gửi đến đâu. Bạn có thể quy định số lần người dùng nhập sai mật khẩu trước khi tài khoản bị khóa. Bạn có thể cài đặt phần mềm mà bạn muốn cung cấp và chặn phần mềm mà bạn không muốn chạy. Sếp đã nói rồi đấy! Và đây mới chỉ là bắt đầu thôi.

Bạn có thể tạo bao nhiêu GPO tùy thích, nhưng chúng sẽ không có tác dụng gì cho đến khi được liên kết với miền, site hoặc OU. Khi bạn liên kết một GPO, tất cả máy tính hoặc người dùng thuộc miền, site hoặc OU đó sẽ được áp dụng chính sách đó. Bạn có thể sử dụng các công cụ khác như lọc bảo mật và WMI filter để áp dụng Group Policy một cách chọn lọc hơn. Chúng ta sẽ tìm hiểu thêm về điều này sau.

Một GPO có thể chứa cấu hình máy tính, cấu hình người dùng hoặc cả hai. Chúng được áp dụng vào các thời điểm khác nhau. Cấu hình máy tính được áp dụng khi máy tính đăng nhập vào miền Active Directory. Điều này sẽ xảy ra mỗi khi máy tính khởi động vào Windows trừ khi nó bị ngắt kết nối khỏi mạng tại thời điểm khởi động. Cấu hình người dùng được áp dụng khi tài khoản người dùng đăng nhập vào máy tính. Trong mỗi trường hợp, sau khi GPO có hiệu lực, nó sẽ được kiểm tra và thực thi vài phút một lần.

Bạn còn nhớ tôi đã nói rằng GPO chứa các chính sách và tùy chọn không? Vậy sự khác biệt giữa chúng là gì? Chính sách là các thiết lập được áp dụng lại vài phút một lần và không được phép thay đổi ngay cả bởi quản trị viên cục bộ. Theo mặc định, các chính sách trong GPO sẽ được áp dụng lại trên máy cứ sau 90 phút. Điều này đảm bảo rằng các máy tính trên mạng không bị lệch khỏi cấu hình mà quản trị viên hệ thống đã xác định cho chúng.

Mặt khác, tùy chọn Group Policy, trong nhiều trường hợp, được dùng như một mẫu cho các thiết lập. Quản trị viên hệ thống sẽ chọn các thiết lập mặc định trên các máy tính áp dụng GPO. Nhưng người dùng máy tính có thể thay đổi các thiết lập này so với những gì được xác định trong chính sách và thay đổi đó sẽ không bị ghi đè.

Vậy các máy tính đã tham gia miền nhận GPO như thế nào? Khi một máy tính hoặc người dùng đã tham gia miền đăng nhập vào miền bằng cách liên hệ với một bộ điều khiển miền, bộ điều khiển miền đó sẽ cung cấp cho máy tính một danh sách các Group Policy mà nó cần áp dụng. Sau đó, máy tính sẽ tải xuống các chính sách đó từ một thư mục đặc biệt có tên là SYSVOL. Thư mục này được xuất dưới dạng chia sẻ mạng từ mọi bộ điều khiển miền. Thư mục này được sao chép giữa tất cả các bộ điều khiển miền và cũng có thể chứa các tập lệnh đăng nhập và đăng xuất. Sau khi máy tính đã tải xuống các GPO của mình, nó sẽ áp dụng chúng vào máy tính.

Cuối cùng, nhiều chính sách và tùy chọn trong GPO được biểu diễn dưới dạng các giá trị trong Windows Registry. Windows Registry là một cơ sở dữ liệu phân cấp các thiết lập mà Windows và nhiều ứng dụng Windows sử dụng để lưu trữ dữ liệu cấu hình. GPO được áp dụng bằng cách thực hiện các thay đổi đối với Registry. Hệ điều hành Windows và các ứng dụng Windows đọc các thiết lập Registry để xác định hành vi của chúng.

Quản lý Group Policy là một chủ đề rất rộng. Khóa học này sẽ chỉ đề cập đến những kiến thức cơ bản về nó. Bây giờ, bạn đã hiểu sơ qua về GPO, hãy cùng tìm hiểu sâu hơn và xem cách sử dụng chúng để quản lý Active Directory và các máy tính đã tham gia AD.

Tạo và chỉnh sửa các chính sách nhóm

Bạn có thể tham khảo ở đây để xem cách tạo và chỉnh sửa các chính sách nhóm

Kế thừa và ưu tiên chính sách nhóm

Khắc phục sự cố Active Directory

Là một quản trị viên hệ thống hoặc chuyên viên hỗ trợ IT, bạn có thể được yêu cầu khắc phục sự cố liên quan đến Active Directory. Hãy cùng xem qua một số tác vụ khắc phục sự cố phổ biến nhất mà bạn có thể gặp phải. Bài học này sẽ giới thiệu cho bạn các công cụ hỗ trợ xử lý các tình huống này.

Lưu ý: Đây chỉ là các ví dụ. Vì chúng ta đang làm việc với các hệ thống phức tạp, có rất nhiều nguyên nhân dẫn đến sự cố. Công cụ tốt nhất của bạn là tìm hiểu về các hệ thống này và hiểu cách chúng hoạt động. Khắc phục sự cố một cách có suy nghĩ và nghiên cứu kỹ lưỡng là chìa khóa thành công.

Một trong những sự cố phổ biến nhất mà bạn có thể gặp phải là khi người dùng không thể đăng nhập vào máy tính hoặc không thể xác thực vào miền Active Directory. Có nhiều lý do khiến điều này xảy ra. Họ có thể đã gõ mật khẩu khi nút Caps Lock đang bật, có thể đã tự khóa mình khỏi máy tính, vô tình thay đổi cài đặt hệ thống hoặc có thể là do lỗi phần mềm.

Điều quan trọng là phải suy nghĩ về các bước khắc phục sự cố và nhớ đặt câu hỏi về những gì đã xảy ra. Hãy chắc chắn xem xét các điều kiện chính xác khi xảy ra lỗi và bất kỳ thông báo lỗi nào đi kèm với lỗi đó. Thông tin này sẽ đủ để bạn bắt đầu đi đúng hướng khắc phục sự cố.

Các loại lỗi xác thực tài khoản người dùng phổ biến:

Khóa tài khoản: Nếu người dùng nhập sai mật khẩu nhiều lần liên tiếp, tài khoản của họ có thể bị khóa.
Quên mật khẩu: Đôi khi mọi người chỉ đơn giản là quên mật khẩu và cần sự trợ giúp của quản trị viên để giải quyết vấn đề.
Không tìm thấy bộ điều khiển miền (Domain Controller): Nếu máy tính miền không thể định vị bộ điều khiển miền mà nó có thể sử dụng để xác thực, thì mọi thứ dựa trên xác thực Active Directory sẽ không hoạt động.

Bắt đầu với giải pháp đơn giản nhất:

Bất cứ khi nào bạn khắc phục sự cố, hãy bắt đầu với giải pháp đơn giản nhất trước. Đây có thể là sự cố kết nối mạng và không liên quan gì đến Active Directory. Nếu máy tính không được kết nối với mạng có thể định tuyến thông tin liên lạc đến bộ điều khiển miền, thì điều này phải được khắc phục. Bất kỳ sự cố mạng nào ngăn máy tính liên hệ với bộ điều khiển miền hoặc máy chủ DNS được cấu hình của nó (được sử dụng để tìm bộ điều khiển miền) đều có thể là nguyên nhân.

Vai trò của DNS:

Để máy tính liên hệ với bộ điều khiển miền, trước tiên nó cần phải tìm thấy một bộ điều khiển miền. Điều này được thực hiện bằng cách sử dụng bản ghi DNS. Máy tính miền sẽ đưa ra yêu cầu DNS cho các bản ghi SRV khớp với miền đã được liên kết. Nếu máy tính không thể liên hệ với máy chủ DNS của mình hoặc nếu các máy chủ DNS đó không có bản ghi SRV mà máy tính đang tìm kiếm, thì nó sẽ không thể tìm thấy bộ điều khiển miền.

Bản ghi SRV mà chúng ta quan tâm là _ldap._tcp.dc._msdcs.TÊN_MIỀN, trong đó TÊN_MIỀN là tên DNS của miền của chúng ta.

Ví dụ trong PowerShell:

PowerShell

Resolve-DNSName -Type SRV -Name _ldap._tcp.dc._msdcs.example.com

Lệnh này sẽ hiển thị bản ghi SRV cho mỗi bộ điều khiển miền. Nếu không thể phân giải các bản ghi SRV cho bộ điều khiển miền, thì máy chủ DNS của bạn có thể bị cấu hình sai.

Cấu hình sai DNS:

Máy tính miền của bạn cần sử dụng máy chủ DNS lưu trữ bản ghi miền Active Directory của bạn. Thông thường đây sẽ là một hoặc nhiều bộ điều khiển miền của bạn, nhưng nó có thể là một máy chủ miền khác. Dù bằng cách nào, các máy chủ DNS thích hợp để sử dụng cho máy tính miền của bạn nên được biết và ghi lại. So sánh cấu hình của máy với cấu hình tốt đã biết và xem liệu có cần điều chỉnh hay không.

Mặt khác, nếu bạn đang phân giải một số bản ghi SRV, nhưng chúng dường như không đầy đủ hoặc không chính xác, thì có thể cần phải khắc phục sự cố chuyên sâu.

Xác thực cục bộ:

Tùy thuộc vào cấu hình miền và máy tính của bạn, xác thực cục bộ sẽ tiếp tục hoạt động (ít nhất là trong một thời gian ngắn). Khi ai đó đăng nhập vào máy tính miền, thông tin cần thiết để xác thực người dùng đó sẽ được sao chép vào máy cục bộ. Điều này có nghĩa là sau lần đăng nhập đầu tiên, bạn sẽ có thể đăng nhập vào máy tính ngay cả khi mạng bị ngắt kết nối. Tuy nhiên, bạn sẽ không được xác thực vào miền hoặc được ủy quyền để truy cập bất kỳ tài nguyên miền nào như thư mục dùng chung. Việc ai đó có thể đăng nhập không có nghĩa là họ có thể tìm thấy bộ điều khiển miền.

Sự cố đồng bộ hóa thời gian:

Một sự cố khác có thể ngăn người dùng xác thực liên quan đến đồng hồ. Kerberos là giao thức xác thực mà AD sử dụng và nhạy cảm với sự chênh lệch thời gian. Ở đây không nói về múi giờ địa phương mà là thời gian UTC tương đối. Nếu bộ điều khiển miền và máy tính không thống nhất về thời gian UTC (thường trong vòng năm phút), thì quá trình xác thực sẽ thất bại.

Máy tính miền thường đồng bộ hóa thời gian của chúng với bộ điều khiển miền bằng dịch vụ thời gian Windows. Nhưng đôi khi điều này có thể thất bại. Nếu máy tính bị ngắt kết nối khỏi mạng miền quá lâu hoặc nếu thời gian bị thay đổi bởi phần mềm hoặc quản trị viên cục bộ quá lệch, thì máy tính có thể không tự động đồng bộ lại với bộ điều khiển miền.

Bạn có thể buộc máy tính miền đồng bộ hóa lại theo cách thủ công bằng cách sử dụng lệnh w32tm /resync.

Page updated

Google Sites

Report abuse

Chính sách nhóm: Group Policy Object (GPO)