Lập kịch bản và tự động tuỳ chỉnh Group Policy

[nod32]

Đôi khi Group Policy Management Console (GPMC) sẽ không cung cấp đủ khả năng linh hoạt trong việc thực hiện nhiệm vụ lớn. Trong trường hợp thiết lập, thay đổi hay gỡ bỏ những ủy nhiệm đối với một số lượng lớn các GPO, thì GPMC có thể khiến bạn gặp một số khó khăn hay có thể nói là cồng kềnh. Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn một cách khác hoàn toàn dễ dàng hơn rất nhiều. Giải pháp ở đây là sử dụng việc lập kịch bản GPMC của Microsoft. Các kịch bản này có khá nhiều và cũng đã được cập nhật, nâng cấp để hỗ trợ cho Windows Vista và Windows Server 2008. Với chúng, bạn hoàn toàn có thể thay đổi các điều khoản trên một hoặc tất cả các GPO một cách dễ dàng.

Các ủy nhiệm đối với GPO

Trước khi bắt đầu việc lập kịch bản và tự động ủy nhiệm cho các GPO, có một vấn đề quan trọng cần lưu ý đó là bạn phải biết mình có những tùy chọn (option) nào. Tất cả ủy nhiệm được liệt kê dưới đây có thể được thiết lập bằng sử dụng GPMC, tuy nhiên phương pháp đó có thể gây tốn nhiều thời gian. Với việc quản lý GPO, bạn có các tùy chọn sau:

Tạo các GPO

Đây là một nhiệm vụ được ủy nhiệm cho toàn bộ miền, tuy nhiên nó được cấu hình tại nút Group Policy Objects bên trong GPMC, xem trong hình 1.

Hình 1: Sự sáng tạo của các GPO là một uỷ nhiệm trung tâm miền

Liên kết GPO

Khả năng liên kết GPO đến một nút trong Active Directory là rất mạnh. Khi GPO được liên kết, các đối tượng dưới nút (miền, site hoặc các đơn vị tổ chức) sẽ bắt đầu một cách hoàn toàn tự động để nhận thiết lập chính sách trong các GPO được liên kết. Hình 2 minh chứng tùy chọn ủy thác cho các GPO đang liên kết với một nút.

Hình 2: Các GPO đang liên kết được ủy thác ở mức Site, miền hoặt đơn vị tổ chức

Soạn thảo quản lý các GPO

Khả năng soạn thảo GPO là một chức năng tuyệt vời, đặc biệt nếu GPO đó đã được liên kết với một nút trong Active Directory. Chính vì vậy cần phải kiểm soát những ai có thể soạn thảo là một điểm mấu chốt. Có hai mức soạn thảo, một mức cho phép xóa và thay đổi độ bảo mật cho GPO. Các ủy thác này được thực hiện ở mức GPO, như thể hiện trong hình 3.

Hình 3: Soạn thảo và quản lý (hoàn toàn) các GPO được ủy thác trên một GPO bởi GPO cơ sở

Sử dụng các kịch bản GPMC để tự động hóa sự ủy thác bảo mật GPO

Các kịch bản GPMC cho phép bạn có thể tạo các thay đổi tương tự đối với việc bảo mật GPO mà GPMC GUI thực hiện, tuy nhiên nó cho phép bạn có thể thực hiện các nhiệm vụ lớn hơn với thời gian nhanh hơn. Giả dụ rằng bạn đã cài đặt Advanced Group Policy Management (AGPM) của Microsoft. Trước khi có thể sử dụng AGPM, bạn phải thay đổi các điều khoản đối với tất cả các GPO bên trong GPMC để bảo đảm rằng các quản trị viên không thể soạn thảo chúng thông qua GPMC. Nếu đều này không được thực hiện thì GPO trong sản xuất (được giới thiệu trong GPMC) có thể dễ mất đồng bộ với GPO mà bạn import vào trong môi trường AGPM. Để gỡ bỏ và thiết lập lại các điều khoản cho nhiều GPO nhằm mục đích thiết lập thì đây hoàn toàn là một nhiệm vụ khó khăn. Mặc dù vậy, với kịch bản GrantPermissionOnAllGPOs.wsf, nhiệm vụ này có thể được thực hiện một cách nhanh chóng! Các kịch bản của GPMC khác cũng thực hiện các chức năng tương tự như được mô tả bên dưới.


Lưu ý:
Để download các kịch bản GPMC, bạn hãy vào địa chỉ sau [Only registered and activated users can see links. ].

GrantPermissionOnAllGPOs.wsf

Kịch bản này sẽ thừa nhận một điều khoản nào đó cho một người dùng hoặc một nhóm trong tất cả GPO nằm trong miền. Vấn đề này sẽ xuất hiện đối với GPO thậm chí nó không được liên kết với nút Active Directory. Khóa chuyển đổi thay thế này rất hữu dụng vì nó có thể gỡ bỏ các điều khoản đang tồn tại và thay thế bằng các điều khoản mới. Nếu một điều khoản được chỉ định cho một nhóm bảo mật nào đó đã tồn tại trên danh sách điều khoản cho GPO thì hai điều khoản cao hơn sẽ được thay thế trong nhóm bảo mật (trừ khi khóa chuyển đổi thay thế này được sử dụng)

Cú pháp

Usage: GrantPermissionOnAllGPOs.wsf GroupName /Permission:value [/Replace] [/Q] [/Domain:value]
GroupName: The security principal to grant permissions to
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Q: Quiet mode - do not display a warning before executing the script
Domain: DNS name of domain

Ví dụ

cscript GrantPermissionOnAllGPOs.wsf "GPO Admins" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Warning! By executing this script, all GPOs in the target domain will be updated with the desired security setting.
Both the Active Directory and Sysvol portions of the GPO will be updated. This will result in the Sysvol contents of every GPO being copied to all replica domain controllers, and may cause excessive replication traffic in your domain.
If you have slow network links or restricted bandwidth between your domain controllers, you should check the amount of data on the Sysvol that would be replicated before performing this task.
Do you want to proceed? [Y/N] y
Updated GPO 'Default Domain Policy' to 'Edit' for GPO Admins
Updated GPO 'Default Domain Controllers Policy' to 'Edit' for GPO Admins

SetGPOCreationPermissions.wsf

Kịch bản này cho phép hoặc gỡ bỏ khả năng tạo các GPO trong một miền đối với một nhóm bảo mật hoặc người dùng nào đó.

Cú pháp

Usage: SetGPOCreationPermissions.wsf Group [/Remove] [/Domain:value]
Group: The security group to grant GPO creation rights to
Remove: Removes the permission instead of granting it
Domain: DNS name of domain

Ví dụ và đầu ra

cscript SetGPOCreationPermissions.wsf "GPO Admins"
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added 'GPO Admins' as having GPO creation rights in Fabrikam.com.

SetGPOPermissions.wsf

Kịch bản này sẽ thiết lập các điều khoản trên GPO đã được định nghĩa từ trước cho nhóm đã định nghĩa. Tất cả các kịch bản khác cũng đều phải có cú pháp của kịch bản và đầu ra. Kịch bản này sẽ lỗi nếu bạn không định nghĩa các đối số cho nó.

Cú pháp

Usage: SetGPOPermissions.wsf:<GPOName><GroupName> /Permission:<PermissionLevel> [/Replace] [/Domain:<DNSDomainName>]
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Domain: DNS name of domain

Ví dụ và đầu ra

cscript SetGPOPermissions.wsf "Hardened Server GPO" "Server Operators" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Modified GPO Hardened Server GPO to give Server Operators Edit rights.

SetGPOPermissionsBySOM.wsf

Kịch bản này cho phép một điều khoản nào đó cho mục đính bảo mật đã được chỉ định đối với tất cả các GPO nằm trong SOM của site, miền, hoặc khối tổ chức đã nhắm đến. Kiểm soát hoàn toàn được cho phép với kịch bản này và các khóa chuyển đổi, như thay thế hoặc không, các tùy chọn đệ quy cho phép bạn có thể biến đổi điều khoản và phạm vi của điều khoản.

Cú pháp

Usage: SetGPOPermissionsBySOM.wsf SOM Group /Permission:value [/Replace] [/Recursive] [/Domain:value]
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'None', 'Read', 'Apply', 'Edit' or 'FullEdit'
Replace: Replaces any existing permissions for the specified trustee. Otherwise, the script simply ensures that the trustee has at least the permission level specified
Recursive: Applies the changes to all child OUs as well
Domain: DNS name of domain

Ví dụ và đầu ra

Trong ví dụ này, có một lỗi nhưng kịch bản vẫn chạy, khóa chuyển đổi /Recursive đã được sử dụng trong ví dụ và không có GPO được liên kết từ trước trong Test OU.

cscript SetGPOPermissionsBySOM.wsf Servers "Server Operators" /Permission:Read /Recursive
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Updating all GPOs linked to OU Servers to give Read rights to Server Operators
Updating all GPOs linked to OU Model Office to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Production to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Test to give Read rights to Server Operators
Error getting SOM CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Fabrikam,DC=com

SetSOMPermissions.wsf

Kịch bản này nhắm đến sự ủy thác có thể được thiết lập cho các nút Active Directory, nơi mà các GPO có thể được liên kết. Vì đây là một chức năng chỉ ảnh hưởng đến các điều khoản thích hợp nên chỉ có các bộ điều khiển miền của Windows Server 2003 hoặc 2008 thì điều khoản RSoP Planning mới có thể được nâng mức.

Cú pháp

Usage: SetSOMPermissions.wsf SOM Group /Permission:value [/Inherit] [/Domain:value]
Options:
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'LinkGPOs', 'RSoPLogging', 'RSoPPlanning', 'All' or 'None'
Inherit: Specifies the permission should be inherited by all child containers
Domain: DNS name of domain

Ví dụ và đầu ra

Trong 2 ví dụ này, RSOPLogging đã được bổ sung và sau đó RSOPLogging được bổ sung vào tất cả các GPO.

cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPLogging /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Logging Mode' permission for server operators.
cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPPlanning /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Planning Mode' permission for server operators.

Kết luận

Các kịch bản GPMC có thể giúp bạn tiết kiệm được rất nhiều thời gian khi cần thực hiện các vấn đề ủy nhiệm trên một số GPO và hầu như cần thiết khi bạn cần thay đổi các GPO trong miền. Chúng cũng dễ dàng trong sử dụng, có đầy đủ khả năng quản lý tất cả các khía cạnh ủy nhiệm GPMC, và thêm vào đó là bạn có thể download chúng hoàn toàn miễn phí. Sau khi download các kịch bản này, những việc cần làm đó là quyết định xem sự ủy thác nào mà bạn cần thực hiện, khởi chạy kịch bản, thiết lập các khóa chuyển đổi.



Văn Linh (Theo Windowsecurity)