Hướng dẫn số 2

Bạn có thể chạy RSOP.msc trên máy tính mục tiêu, cách thức này sẽ cung cấp cho bạn những thông tin tương tự như trong bài số 1, ngoại trừ cho giao diện là khác hoàn toàn. Hình 5 minh chứng rằng lệnh RSOP.msc trên máy tính mục tiêu thể hiện các thiết lập GPO theo cùng định dạng như GPO gốc được sử dụng để cấu hình nó trong bộ soạn thảo. Điều này mang lại khá nhiều lợi ích cho một số người, vì không cần phải lo lắng về đường dẫn của thiết lập bảo mật, bạn có thể vào trực tiếp nút trong GPO và xem kết quả.

Hình 5: RSOP.msc cho kết quả trên máy tính mục tiêu

Để xem thêm các thông tin về các GPO và các extension phía trình khách, bạn cần một số thao tác sâu hơn trong giao diện này. Nếu kích phải vào nút Computer Configuration, bạn có thể chọn các tùy chọn menu của Properties. Từ đây, bạn sẽ thấy các GPO được áp dụng, cũng như có thể chuyển đổi để xem các nút bên dưới, như thể hiện trong hình 6:

Hình 6: Tùy chọn RSOP Properties hiển thị thêm các thông tin chi tiết về các GPO được áp dụng

Thông tin này có thể giúp đỡ bạn phát hiện tại sao GPO và các thiết lập liên quan không được áp dụng.

Để xem các thông tin chi tiết phía trình khách, bạn cần chọn tab Error Information, như thể hiện trong hình 7.

Hình 7: Tab Error Information bên trong tùy chọn thuộc tính RSOP.msc

Ở đây, bạn có thể thấy tại sao một CSE không thể được áp dụng, chương trình sẽ thông tin cho bạn về lý do tại sao các thiết lập có thể không nằm trong giao diện RSOP.msc.

Hướng dẫn số 3

Nếu chỉ muốn nhắm tới các thiết lập bảo mật, thay vì tất cả các thiết lập được triển khai từ GPO, bạn có thể chạy secpol.msc trên máy tính mục tiêu. Công cụ này sẽ chỉ hiển thị một tập nhỏ các GPO, theo cùng định dạng như bộ soạn thảo GPO gốc. Bạn có thể thấy trong hình 8.

Hình 8: Secpol.msc chỉ hiển thị các thiết lập bảo mật trên máy tính mục tiêu

Có hai vấn đề mà chúng tôi muốn đề cập về công cụ này. Đầu tiên, công cụ này sẽ hiển thị nhiều thiết lập, không chỉ các thiết lập bảo mật được triển khai từ một GPO. Điều này khá tuyệt vời vì bạn có thể thấy tất cả các thiết lập bảo mật trên máy tính, không chỉ các thiết lập được triển khai từ một GPO. Bạn có thể khẳng định ngay lập tức thiết lập nào từ một GPO trong Active Directory khác so với các thiết lập được áp dụng nội bộ bằng biểu tượng trên thiết lập. Nếu quan sát hình 8, bạn có thể thấy ngưỡng khóa tài khoản (Account lockout threshold) có một biểu tượng khác so với hai thiết lập khác. Biểu tượng cho thiết lập này minh chứng rằng thiết lập là từ một GPO từ Active Directory, nơi hai thiết lập khác được cấu hình nội bộ.

Điểm thứ hai là bạn có thể thấy rõ công cụ secpol.msc không hiển thị nhiều thiết lập GPO như công cụ RSOP.msc. Vì vậy khi kiểm tra các thiết lập nào đó, bạn cần làm việc với công cụ thể hiện tốt nhất các kết quả mà bạn đang tìm kiếm.

Kết luận

Như những gì thấy, có nhiều tùy chọn để trợ giúp việc kiểm tra trạng thái các thiết lập bảo mật mà bạn triển khai bằng cách sử dụng GPO. Các công cụ này tất cả đều được xây dựng bên trong và rất hữu dụng. Cần phải có các đặc quyền quản trị viên để chạy chúng, tuy nhiên khi thực hiện, bạn có thể dễ dàng thấy được thiết lập nào được áp dụng, thiết lập nào không, và các lý do cho việc nó không được áp dụng.