Group Policy – Windows Server 2012 R2

29/04/2015

1) Giới thiệu

Để tiết kiệm thời gian, tập trung vào quản trị và tối ưu hệ thống. Bạn cần có một loạt các chính sách chặt chẽ để quản lý người dùng (end-user), ngăn chặn và giới hạn người dùng có những hành động vượt quá và ảnh hưởng tới hệ thống, đồng thời cũng giúp bạn tiết kiệm thời gian cho những việc xử lý sự cố từ phía end-users. Group Policy Object (GPO) ra đời để giúp bạn thực hiện điều này.

2) Cấu tạo của GPO

Cấu tạo của GPO bao gồm 2 phần, chúng được tách riêng và nằm ở 2 vị trí khác nhau :

Group Policy Template : chứa các thuộc tính trong chính sách. Có 2 phần thuộc tính chính đó là thuộc tính user (User configuration) và thuộc tính computer (Computer Configuration).
Group Policy Container : được xem là chính sách, bạn có thể tạo một hoặc nhiều chính sách, và để có thể cấu hình và áp dụng các chính này một cách chính xác lên người dùng. GPC sẽ dùng cấu trúc Active Directory (Forest, Domain, OU) để dựa trên đó mà áp đặt.

Các chính sách này được lưu ở đường dẫn%systemroot%\SYSVOL\sysvol\domain_name\Policies\GUID

Mỗi chính sách đều có các thuộc tính như (Domain, Owner, Date and Time, User/Computer version, số GUID, GPO Status). Mỗi chính sách đều có một con số GUID riêng biệt.

Phần GPO Status có 4 lựa chọn :

Enabled : enable tất cả các thuộc tính của User/Computer trong chính sách
All settings disabled : disable tất cả các thuộc tính User/Computer
Computer configuration settings disabled : chỉ thực thi thuộc tính User Configuration, disable các thuộc tính thuộc về bên Computer Configuration.
User configuration settings disabled : chỉ thực thi thuộc tính Computer Configuration, disable các thuộc tính thuộc về bên User Configuration.

3) Nguyên tắc hoạt động của GPO

Các chính sách có thể được áp đặt trên OU, Site, Domain. Mặc định, GPO sẽ xử lý các chính sách theo độ ưu tiên như sau : OU, Site, Domain. Ví dụ, bạn áp dụng chính sách Folder Redirection cho tất cả user trên Site cho phép thư mục My Document được redirect về File Server ở văn phòng chính, đồng thời bạn cũng áp dụng chính sách Folder Redirection cho tất cả user trong OU, cho phép thư mục My Document được redirect về File Server ở chi nhánh. Thì lúc này GPO sẽ ưu tiên chính sách OU, các user sẽ redirect thư mục Document về File Server chi nhánh.

Xem thêm: Hướng dẫn DNSSEC (DNS Security Extension) Full - Windows Server 2012 R2

Tuy nhiên cũng có một vài cách để điều khiển việc xử lý của GPO bằng các tính năng :

Block Inheritance : thường cấu hình ở OU, cho phép bỏ qua tất cả những chính sách của cấp trên như Site, Domain. Chỉ áp dụng các chính sách trong OU đó.

Enforced : thường được cấu hình ở Domain,Site. Bắt buộc áp tất cả các chính sách ở trên xuống cho OU. Loại bỏ tất cả các chính sách dưới OU, kể cả bạn có cấu hình Block Inheritance cho OU.

Security Filtering : nếu bạn áp một chính sách cấm truy cập IE cho OU Kế toán gồm trưởng phòng, nhân viên 1, nhân viên 2. Lúc này nếu chỉ riêng trưởng phòng muốn sử dụng IE thì phải làm sao ? Đơn giản là bạn chỉ cần vào chính sách đó và vào mục Scope –> Security Filtering. Xóa nhóm Authenticated User và Add lại nhân viên 1, nhân viên 2. Lúc này bạn đã loại bỏ trưởng phòng ra khỏi chính sách đó.

Quá trình cập nhật GPO được xử lý khi Computer được khởi động và User thực hiện đăng nhập (Log on). Sau đó cứ theo chu kỳ trong khoảng từ 90 – 120 phút thì sẽ cập nhật lại một lần.

4) Backup và Restore các chính sách

GPO cho phép bạn thực hiện backup các chính sách và restore khi có sự cố xảy ra.

5) Các tính năng mới của GPO trong Windows Server 2012 R2

Group Policy Caching (new) : khi máy tính đã cập nhật các chính sách policy mới nhất về máy mình, nó sẽ lưu vào một thư mục trên máy đó (local) . Policy này sẽ được đồng bộ lại vào lần tiếp theo khi computer start/reboot, nó sẽ so sánh và cập nhật những chính sách mới mà nó chưa có. Thay vì ở phiên bản Windows Server cũ là phải download lại toàn bộ policy mới nhất về. Điều này giúp giảm đáng kể thời gian logon, thời gian xử lý policy và tiết kiệm băng thông. Phù hợp với các máy tính dùng tính năng Direct Access. Chúng ta vào đường dẫn sau để Enable tính năng Group Policy Caching(Computer Configuration \Policies\Administrative Templates\System\Group Policy\Configuring Group Policy Caching)

Xem thêm: Hyper-V Replica Chain trong Windows Server 2012 R2

Remote Group Policy Update (New) : cho phép đứng trên Group Policy Management thực hiện lệnh gpupdate /force từ xa, áp dụng đến bất kỳ máy tính nào trong domain. Thực hiện bằng cách chuột phải vào OU –> Group Policy Update –> OK

Group Policy Infrastructure Status Details (New) : giao diện GPM tích hợp tính năng giám sát quá trình replicate các chính sách GPO giữa các DC/ADC trong domain. Cho bạn một cái nhìn tổng quan về quá trình replicate các chính sách và kiểm soát cũng như cập nhật cho chúng dễ dàng. (Trước tiên nhấn Detect Now để quét, sau đó hệ thống sẽ hiển thị thông tin replicate. Dấu chấm hỏi cho biết các máy DC/ADC mà chúng không liên lạc được hoặc chưa replicate | Dấu stick màu xanh cho biết các máy DC/ADC đã replicate đầy đủ)

Fast Startup (New) : giúp làm giảm thời gian xử lý GPO processing trong lúc shutdown hoặc start computer, Group Policy sẽ tự động hiểu là computer đó đang ở trạng thái ngủ đông (hibernate) thay vì shutdown. Tính năng này chỉ để người dùng log-in nhanh vào hệ thống bằng cách bỏ qua việc cập nhật chính sách. Lưu ý : đối với Windows 8.1 và Windows 8. Khi bạn shutdown thì hệ thống không shutdown hoàn toàn mà hệ thống chỉ đưa vào chế độ Hibernate và khi bạn Start lại thì các chính sách này vẫn là chính sách cũ. Việc bạn thực hiện Restart máy mới đúng nghĩa là Shutdown, và lúc này sau khi restart thì máy tính mới thực hiện cập nhật lại chính sách. Có thể Disable tại đường dẫn sau “Computer Configuration /Policies/Administrative Templates/System/Shutdown/Require use of fast startup”

Xem thêm: Convert Physical Computer to Virtual Machine - Windows Server 2012 R2

Sign-in Optimizations (Updated) : GPO sẽ xác định xem băng thông kết nối của người dùng khi đăng nhập. Từ đó xác định đường truyền nhanh hay chậm, nếu đường truyền chậm thì chuyển sang cơ chế bất đồng bộ policy và cho phép user đăng nhập nhanh hơn. Tính năng này áp dụng cho các máy dùng các kết nối từ xa như DirectAccess, kết nối 3G. Chúng ta vào đường dẫn sau để Enable tính năng Slow link(Computer Configuration \Policies\Administrative Templates\System\Group Policy\Configuring Group Policy Slow Link Detection). Khai báo băng thông, nếu dưới băng thông này được xem là slow link, hoặc stick vào ô “Always Treat WWAN….” để nếu phát hiện là kết nối từ WAN vào thì xác định là slow link).

Group Policy Client Service idle state (Updated) : mặc định cứ 90 phút thì GPO được cập nhật lại một lần, nếu phát hiện người dùng không dùng máy tính trong 10 phút (idle time), thì sẽ tắt dịch vụ này. Mặc định được Enable sẵn, bạn cũng có thể Disable chính sách tại đây (Computer Configuration \Policies\Administrative Templates\System\Group Policy\Turn off Group Policy Client Service AOAC Optimization)

Group Policy Result report improvements (Updated) : bảng report chứa nhiều thông tin hơn như kết nối slow link, thông tin về block inheritance, quá trình xử lý của client..