Tweet
🔥 Bạn mới bắt đầu học GPO (Group Policy Object)? Hãy dừng lại 2 phút để hiểu rõ GPO được lưu trữ như thế nào nhé!
Trong môi trường doanh nghiệp sử dụng Active Directory, GPO là công cụ quyền lực để quản lý cấu hình người dùng và máy tính. Nhưng ít ai để ý rằng mỗi GPO khi được tạo ra sẽ được lưu trữ ở 2 nơi khác nhau. Việc hiểu rõ điều này là cực kỳ quan trọng khi troubleshooting hoặc replication gặp sự cố.
💡 GPO lưu ở đâu? – Hai thành phần chính:
1. Group Policy Container (GPC)
🧠 Ví dụ thực tế dễ hiểu:
Khi bạn tạo một GPO để bắt buộc người dùng đổi mật khẩu sau 30 ngày:
Khi máy client khởi động:
🔍 Vì sao điều này quan trọng?
📌 Tổng kết dễ nhớ:
Bài viết dành cho các bạn học MCSA, Azure Admin, System Admin, và các anh em làm việc với domain controller.
Bạn đã từng gặp lỗi GPO mà nguyên nhân là do SYSVOL chưa đồng bộ? Chia sẻ bên dưới để cùng học hỏi nhé!
Trong môi trường doanh nghiệp sử dụng Active Directory, GPO là công cụ quyền lực để quản lý cấu hình người dùng và máy tính. Nhưng ít ai để ý rằng mỗi GPO khi được tạo ra sẽ được lưu trữ ở 2 nơi khác nhau. Việc hiểu rõ điều này là cực kỳ quan trọng khi troubleshooting hoặc replication gặp sự cố.
💡 GPO lưu ở đâu? – Hai thành phần chính:
1. Group Policy Container (GPC)
- Được lưu trong AD DS (Active Directory Domain Services).
- Chứa thông tin về phiên bản của GPO, GUID, liên kết OU nào áp dụng GPO này...
- Ví dụ: khi bạn mở ADUC (Active Directory Users and Computers), GPO gắn với OU nào là thông tin được lấy từ GPC.
- Được lưu trong thư mục chia sẻ SYSVOL, cụ thể đường dẫn: \\<domain>\SYSVOL\<domain>\Policies\<GUID>
- Chứa nội dung chính sách thực tế, ví dụ như cấu hình registry, script đăng nhập, cấu hình phần mềm.
- Đây là phần mà các client truy cập để nhận chính sách khi khởi động hoặc đăng nhập.
🧠 Ví dụ thực tế dễ hiểu:
Khi bạn tạo một GPO để bắt buộc người dùng đổi mật khẩu sau 30 ngày:
- Thông tin GPO đó được ghi vào GPC trong AD để xác định GPO đó là gì, áp dụng cho OU nào.
- Cấu hình “expire password sau 30 ngày” được lưu trong GPT nằm trong SYSVOL.
Khi máy client khởi động:
- Nó hỏi AD: “Tôi thuộc OU nào, có GPO nào áp dụng không?” → Lấy từ GPC
- Sau đó nó vào SYSVOL để tải file cài đặt chính sách → Lấy từ GPT
🔍 Vì sao điều này quan trọng?
- Nếu AD sync tốt nhưng SYSVOL chưa replicate, bạn sẽ thấy GPO hiện diện nhưng không có tác dụng.
- Nếu sửa đổi GPO nhưng SYSVOL chưa đồng bộ, client sẽ vẫn áp dụng chính sách cũ.
- Troubleshooting GPO = phải kiểm cả hai nơi!
📌 Tổng kết dễ nhớ:
- GPC = Metadata trong AD
- GPT = Nội dung chính sách trong SYSVOL
- GPO = Kết hợp cả 2 phần!
Bài viết dành cho các bạn học MCSA, Azure Admin, System Admin, và các anh em làm việc với domain controller.
Bạn đã từng gặp lỗi GPO mà nguyên nhân là do SYSVOL chưa đồng bộ? Chia sẻ bên dưới để cùng học hỏi nhé!