Cách để thêm, sửa, xóa Registry Keys sử dụng Group Policy

Trong môi trường miền, không phải lúc nào bạn cũng có thể sử dụng Group Policy (GPO) để quản lý một số cài đặt của Windows hoặc ứng dụng.Trên thực tế, một số cài đặt bạn chỉ có thể áp dụng thông qua registry. Trong Active Directory domain, bạn có thể quản lý tập trung các registry key trên các máy tính trong domain thông qua GPO. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách sử dụng Group Policy để quản lý, thêm, sửa và xóa các registry key trên một domain.

Windows Server 2008 đã giới thiệu một phần mở rộng của Group Policy(Group Policy Preferences — GPP). Nó cho phép bạn quản lý các registry key và các tham số thông qua Group Policy. GPP cho phép bạn thêm, xóa hoặc sửa đổi các tham số, giá trị và registry trên các máy tính tham gia vào miền. Cách thực hiện như sau.

*Ghi chú: Trước đây, để quản lý cài đặt đăng ký trên máy tính trong miền, quản trị viên phải tạo các mẫu Administrative GPO(.adm / .admx) hoặc scripts đăng nhập của riêng họ. Ngoài ra, các tệp * .reg cũng thường được sử dụng, các tệp này phải được nhập vào máy tính của người dùng bằng cách sử dụng lệnh reg import hoặc Regedit.exe / s import.reg).

Cách thêm Registry Key thông qua GPO?

Giả sử chúng tôi cần tắt cập nhật Drivers tự động trên máy tính trong một miền cụ thể. Chúng tôi phải sửa đổi khóa SearchOrderConfig trong registry key: 

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ DriverSearching.

Có ba tùy chọn để chọn registry key trên PC:

• Registry Wizard — cho phép bạn sử dụng một máy khác làm mẫu tham khảo cho GPP registry browser tích hợp sẵn;
• Collection Item — tạo và tổ chức các registry items trong một thư mục. Hữu ích nếu bạn cần thêm một nhóm khóa đăng ký;
• Registry Item — cho phép bạn thay đổi thủ công một khóa đăng ký, tên thông số và giá trị registry key, parameter name, và value.

Giờ chúng ta sẽ dùng Registry Wizard để đặt thông số cho registry:

1. Mở Group Policy Management Console (gpmc.msc);
2. Tạo mới (hoặc chỉnh sửa) GPO, và link nó tới Active Directory thích hợp. Sau đó, chuyển nó sang chế độ GPO EDIT;
3. Truy cập đường dẫn GPO sau: Computer (Hoặc User) Configuration > Preferences > Windows Settings > Registry. Phải chuột vào Registry chọn New > Registry Wizard;
   
4. Tại cửa sổ Registry Wizard, bạn có thể tìm tới registry trên máy tính đang sử dụng, hoặc cũng có thể kết nối tới registry trên máy tính khác trong mạng và chọn tham số và registry hiện có;
5. Chỉ định tên máy tính từ xa (hoặc địa chỉ IP) để kết nối. Sử dụng Registry Browser  để tìm và chọn Registry / tham số đăng ký hiện có;

6. Trong ví dụ này, chúng tôi chỉ muốn thêm một registry item vào tham số GPP – REG_DWORD có tên SearchOrderConfig nên chúng tôi sẽ tìm tới registry SearchOrderConfig và chọn nó.  

7. Tham số này với đường dẫn và giá trị đăng ký đầy đủ sẽ được thêm vào bảng điều khiển trình soạn thảo GPO. Bạn có thể thay đổi giá trị của nó và hành động mong muốn. Để đặt một giá trị tham số đăng ký cụ thể, hãy sử dụng tùy chọn Update (xem bên dưới);

8. Điều này sẽ hoàn tất việc cài đặt registry policy. Khi bạn cập nhật lại Group Policy trên máy tính (chạy lệnh gpupdate để cập nhật ngay), cài đặt registry đó sẽ được áp dụng trên tất cả các máy tính trong OU.

Bạn cũng có thể nhập đường dẫn registry đầy đủ và tên tham số theo cách thủ công:

1. Chọn New > Registry Item;
   

2. Trong các trường sau (Hive, Key path, Value type, Value data) bạn phải chỉ định Registry hive (HKLM, HKCU, etc.); registry key; tên tham số, loại, và giá trị;

Note. Bạn có thể sử dụng Hive names sau:
HKEY_CLASSES_ROOT (HKEY_LOCAL_MACHINE\Software\Classes),
HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current), HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER (HKEY_USERS\.Mặc định sẽ được sử dụng nếu bạn đặt registry key HKCU bằng Computer Configuration Policy);
HKEY_USERS — ảnh hưởng đến hồ sơ người dùng cá nhân.

3. Theo mặc định, hãy đặt tùy chọn chính sách ở chế độ Update.

Có 4 kiểu hoạt động với các registry items:

• Create — tạo một tham số đăng ký. Nếu tham số đã tồn tại, giá trị không thay đổi;
• Update (default) — nếu thông số đã tồn tại, giá trị của nó sẽ được cập nhật với giá trị được chỉ định trong GPP. Nếu không, một tham số có giá trị được chỉ định sẽ được tạo;
• Replace — nếu mục đăng ký đã tồn tại, xóa và tạo lại mục đăng ký (hiếm khi được sử dụng);
• Delete — loại bỏ registry key và tất cả các giá trị và khóa con của nó.

Một số tùy chọn trên tab Common:

• Run in logged-on user’s security context —tham số đăng ký được tạo trong ngữ cảnh của người dùng hiện tại. Nếu bạn chọn tùy chọn này, tham số sẽ được tạo với quyền của người dùng hiện tại. Nếu người dùng không có quyền quản trị cục bộ, chính sách sẽ chỉ được áp dụng cho HKEY_CURRENT_USER. Không áp dụng với HKEY_LOCAL_MACHINE;
• Remove this item when it is no longer applied — nếu bạn hủy liên kết GPO khỏi AD container, cài đặt đăng ký đã thay đổi sẽ trở lại trạng thái ban đầu;
• Apply once and do not reapply — chỉ áp dụng chính sách cho mỗi máy tính một lần;
• Item-level targeting — có thể được sử dụng để target mục tiêu registry settings thông qua GPP dựa trên cài đặt máy tính và/hoặc thuộc tính người dùng ở cấp độ chi tiết.

Báo cáo cuối với cài đặt policy  trong bảng điều khiển GPMC trông giống như sau:

Ghi chú: Trong Windows XP và Windows Server 2003, không có phần GPP. Để thêm nó vào HĐH, bạn phải cài đặt bản cập nhật KB943729

Cách xóa Registry Key sử dụng Group Policy Preferences?

Bạn cũng có thể sử dụng GP Preferences để xóa một khóa cụ thể hoặc registry entry trên các máy tính trong miền.

Ví dụ: Nếu bạn muốn xóa một tham số nhất định trong registry key HKEY_CURRENT_USER.

1. Tạo một registry GPP trong User Configuration > Preferences > Windows Settings > Registry;
2. Sử dụng Registry Browser để chọn một tham số hoặc khóa;
3. Mở rộng Registry key trong bảng điều khiển GPO. Mở parameter properties và thay đổi Action thành Delete;

4. Save lại;
5. Bây giờ, sau khi cập nhật cài đặt chính sách nhóm trên máy khách. Thông số được chỉ định sẽ bị xóa khỏi nhánh registry của người dùng.

Tip. Nếu bạn gặp lỗi “Network Path not found”  khi đang xem registry của một máy khác qua Registry Browse, kiểm tra xem máy tính đó có đang truy cập được mạng hay không. Ngoài ra, hãy kiểm tra xem dịch vụ Remote Registry có đang chạy hay không (dịch vụ này bị tắt theo mặc định). Nếu không, hãy sử dụng bảng Services console (services.msc) để bắt đầu dịch vụ

Hoặc bạn có thể kiểm tra từ xa trạng thái của dịch vụ và kích hoạt nó bằng các lệnh PowerShell sau:

$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba
$remoteservice| Set-Service -StartupType Manual
$remoteservice| start-service

Cách Deploy một file Reg trên các máy tính trong miền sử dụng GPO?

Giả sử bạn cần triển khai một file Reg cho toàn bộ máy tính trong miền. Thay vì tạo các cài đặt đăng ký riêng lẻ theo cách thủ công trong GPP editor, bạn có thể nhập tệp reg có cài đặt thông qua GPO startup script.

1. Xuất nội dung registry key trên máy tính sang tệp reg. Để thực hiện việc này, hãy khởi động registry editor (regedit.exe), bấm chuột phải vào registry key và chọn Export. Chỉ định tên của tệp bạn muốn lưu nội dung của registry key;

2. Bạn có thể mở file reg với bất kỳ trình chỉnh sửa nào và chỉnh sửa nó bằng tay. Xóa registry key rỗng , Chỉnh sửa giá trị tham số (nếu cần), Thêm những key hoặc tham số mới;
   
3. Mở Group Policy Management. Tạo một GPO mới và kết nối nó với OU với những máy tính trong đó (nếu bạn muốn áp dụng các tham số HKLM registry hive);
4. ĐI tới GPO: Computer Configuration > Windows Settings > Scripts > Logon;
5. Nhấn vào nút Add để thêm mới một Startup script.
6. Ở cửa sổ tiếp theo, nhấn vào nút Browse và copy file reg của bạn tới địa chỉ “\\domain-name\Sysvol\domain-name\Policies\…”;
   

7. Chỉ định các tham số sau của logon script:

Script Name: regedit.exe

Script Parameters: /s your_reg_file.reg

8. Save lại các thay đổi;
9. Cài đặt Registry từ file reg của bạn sẽ được áp dụng cho tất cả máy tính trong OU đã được chỉ định sau khi reset lại máy.